PR
Symantec Security Response Weblog


Attack of the Clones II」より
January 17, 2008 Posted by Mateusz Misiewicz

 AVSystemCareDriveCleaner,MalwareAlarm(AntiSpywareShieldのクローン)は,有害なアンチスパイウエア/アンチウイルス・アプリケーションの「ブランド」として知られている。これらは増大するミスリーディング・アプリケーションの一部だ。ミスリーディング・アプリケーションは,コンピュータが多くの脅威に感染しているという偽の警告をいくつも表示し,ソフトウエアを購入すれば問題が解決するとユーザーを欺く。

 我々は数カ月前,AVSystemCareのクローンに関する記事を書いたが,それ以降,これらのミスリーディング・アプリケーションに関連したドメインは500個に達し,その数は現在も増え続けている。同じく,MalwareAlarmの新たなクローンも増殖しており,その多くはDownloader.MisleadAppによってダウンロードされる。

 これらのクローンには例外なく一つの共通項がある。いずれもWindowsをターゲットとしている点だ。ただし読者がMacintoshユーザーで,「このようなセキュリティ・リスクを仕掛ける人物がターゲットとしているのはWindowsユーザーだけだ」と思っているのなら,それは間違いである。以前,フィンランドのエフセキュアに務めている友人が,Mac OS Xをターゲットとした初めてのミスリーディング・アプリケーション「MacSweeper」を発見したからだ(関連記事:F-Secure,Mac初の偽セキュリティ・ソフト「MacSweeper」を警告)。


[画像のクリックで拡大表示]

 調査した結果,別のセキュリティ・リスクをあやつる同一グループが数カ月のテストを経てこのアプリケーションをリリースした,と確信するに至った。実際,配布元のWebページ,偽のスキャン・エンジン,ユーザー・インタフェース全般を簡単に比較してみたところ,コンテンツのかなりの部分をほかのミスリーディング・アプリケーションから借用している。

MacSweeperのスキャナ画面
MacSweeperのスキャナ画面
[画像のクリックで拡大表示]
MalwareAlarmのスキャナ画面
MalwareAlarmのスキャナ画面
[画像のクリックで拡大表示]
MacSweeperスキャナで検出された脅威
MacSweeperスキャナで検出された脅威
[画像のクリックで拡大表示]
MalwareAlarmスキャナで検出された脅威
MalwareAlarmスキャナで検出された脅威
[画像のクリックで拡大表示]

 Macintoshプラットフォームの人気がこの頃高まりつつある(参考サイト)ことを考えると,セキュリティ・リスクやマルウエアの作者が,新たな利益を求めてMacintoshに狙いを定めたとしても何ら不思議なことではない。

 例えば「Trojan.Zlob」系のトロイの木馬は,悪意のあるWebサイトを通じて偽のビデオ・コーデックを配布する。これらのWebサイトでは現在,サイト側に送られてくるHTTPのユーザー・エージェント情報(特にブラウザやOSの種類)に応じて異なるファイルを提供している。これらWebサイトをMacintoshで閲覧した場合にダウンロードされるのは,Macintosh向けバージョンの「OSX.RSPlug.A」だろう。

 MacSweeperのリリースが脅威全体に与える影響を完全に見極めるのは,時期尚早なため難しいだろう。これらセキュリティ・リスクの作者は,Windowsプラットフォームで悪質な行為を働くことで知られている。攻撃用ドメインは毎月増え続けており,新たなクローンをともなう新しいドメインも登場している。ただし,Macintoshベースのバージョンについては一過性のものなのか,ここで定着するのかは,今のところ定かではない。


Copyrights (C) 2007 Symantec Corporation. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。

◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Attack of the Clones II」でお読みいただけます。