ウィルスに感染したように見せかけるという手口が悪質だ

　先日、とある調べ物をしていたのだが、あるサイトを表示して暫くしたら突然別のホームページにリダイレクトされ、こんなページが表示された。

　Appleのホームページを模倣しており、あたかも Safari や macOSの正規な機能によってウィルスが検出されたかのように見せかけている。トロイの木馬ウィルス（e.tre456_worm_osx）が検出され、他にも2つ検出されたと言っている。しかし、こんなのは全くの嘘っぱち。少しネット検索してみれば、同様の記事が山ほど見つかる。もはや本物(？)の e.tre456_worm_osxウィルスについての記事を見つける方が難しいくらいの状態だ(*1)。無視してWebブラウザを終了させてしまえば良く、間違っても「今すぐスキャン」ボタンをクリックしてはいけない。
　クリックすると、MacKeeperというアンチウィルスソフトのホームページに誘導され、インストール、ライセンス購入を奨めてくるという悪質な広告だそうで、どこぞの眼鏡型ルーペのCMといい勝負の品の無い広告だ。

　ウチの Mac Pro では Intego VirusBarrier を導入しており、リアルタイム監視しているので、このような既知のウィルス、マルウェアに感染する可能性は低いと思っているが、可能性はゼロではない。それに広告を表示するだけのアドウェアと呼ばれるタイプのものは、システムやファイルを改竄したり、情報を盗聴・収集する危険性が無いとの事で見過ごされている場合もあると聞いたような気もする。
　と言うことで、突然このようなホームページに飛ばされたという事は、

1. ウチの macOS内に、VirusBarrierが見過ごしたアドウェアが生息している
2. 参照したホームページに広告として仕込まれている

の2つの可能性が考えられるわけだ。2.の方であれば、同じホームページを参照すれば同じように飛ばされるかと思うと案外そうでも無いようだ。まぁ毎回同じように飛ばされれば、そのホームページに仕込まれている事が判ってしまうし、ホームページを所有している人もたまったもんじゃない。参照しに来た何人かに一人という感じで飛ばしているのではないかと思われる。

　仮に1.の方だとしたら、（危険性が無いとしても）気分が悪いので、さっさと駆除してしまいたい。ネットで検索したところ、Malwarebytesというのが良く使われているようだ。これはこれで少々胡散臭い感じがしないでもないが、今のところ安全なソフトらしい（同種のソフトの中には、大量のマルウェアが見つかったが、駆除にはライセンスを購入する必要があると言って来るヤツもあるようだ）。
　これをインストールしてスキャンさせてみたが、やはり何も見つからなかった。用が済んだら、さっさとアンインストールしてしまいたいが、Malwarebytesアプリをゴミ箱に放り込んで削除してもメニューバーに残存してしまうので注意。正しいアンインストールの方法は、アプリを起動した状態で「Help」メニューから「Uninstall Malwarebytes」を選ぶ。

もしMalwarebytesアプリをゴミ箱に放り込んで削除してしまったのなら、再インストールしてアンインストールするか、以下の場所に Malwarebytesのフォルダ、ファイルがあるので、これらを削除して再起動すればメニューバーに残存した物も消えるはず。

• /Library/Application Support/Malwarebytes/
• /Library/LaunchAgents/com.malwarebytes.mbam.frontend.agent.plist
• /Library/LaunchDaemons/com.malwarebytes.mbam.rtprotection.daemon.plist
• /Library/LaunchDaemons/com.malwarebytes.mbam.settings.daemon.plist
• ~/Library/Preferences/com.malwarebytes.mbam.frontend.agent
• ~/Library/Preferences/com.malwarebytes.mbam.frontend.application

備考(*1)：
　どうやら、e.tre456_worm_osxという名前のウィルスは実際には存在しておらず、完全にフェイクらしい。

内ト / Feb 10th, 2019 17:38 / [ 編集 ] [ コメントする ] [ TrackBack(0) ]