Oligur

• ニュース

Apple は、次の Snow Leopard アップデートで Mac Defender を軌道から排除する準備をしているのかもしれないが、マルウェアが依然として非常に現実的な脅威であるだけでなく、Mac Defender は以前よりもさらに大きな危険に変化している。

Mac用ウイルス対策ソフトメーカーIntegoから、Mac Defenderの最新亜種「Mac Guard」について警告するメールが届きました。Mac Guardが以前の亜種（MacDefender、MacProtector、MacSecurityなど）と比べて特に危険なのは、インストール時に管理者パスワードの入力を必要としないことです。

仕組みは以下のとおりです:

最初の部分はダウンローダーです。これはインストール後、Webサーバーからペイロードをダウンロードするツールです。Mac Defenderマルウェアの亜種と同様に、このインストールパッケージ（avSetup.pkg）は、ユーザーが特別に細工されたWebサイトにアクセスすると自動的にダウンロードされます。

Safariの「ダウンロード後に安全なファイルを開く」オプションにチェックが入っている場合、パッケージはAppleのインストーラを起動し、標準のインストール画面が表示されます。チェックが入っていない場合、ダウンロードしたZIPアーカイブを見て、何をダウンロードしたのか覚えていないまま好奇心からダブルクリックし、インストールパッケージをダブルクリックしてしまう可能性があります。いずれの場合も、Mac OS Xインストーラが起動します。

この偽アンチウイルスの以前の亜種とは異なり、このプログラムのインストールには管理者パスワードは必要ありません。アプリケーションフォルダには誰でもソフトウェアをインストールできるため、パスワードは不要です。このパッケージは、avRunnerという名前のアプリケーション（ダウンローダー）をインストールし、自動的に起動します。同時に、インストールパッケージはユーザーのMacから自動的に削除されるため、元のインストーラの痕跡は残りません。

マルウェアの2つ目の部分は、MacDefenderアプリケーションの新バージョンである「MacGuard」です。これは、avRunnerアプリケーションのリソースフォルダ内の画像ファイルに隠されたIPアドレスから、avRunnerアプリケーションによってダウンロードされます。（IPアドレスは、単純なステガノグラフィによって隠蔽されています。）

Mac Defender の他の亜種と同様に、Mac Guard は、何を探しているのか分かっていれば簡単に回避でき、誤って感染した場合には削除できます。

しかし、Mac Defenderが管理者パスワードを入力せずにユーザーのマシンに感染するようになった今、感染者数はさらに増える可能性が高い。Appleのセキュリティアップデートは、早ければ早いほど良い。