Intego は、OSX/OpinionSpy スパイウェアに関連するリスクを「高」と分類しています。
OSX/OpinionSpyは、MacUpdate、VersionTracker、Softpediaなどのサイトで配布されている多数のアプリケーションやスクリーンセーバーによってインストールされます。スパイウェア自体はこれらのアプリケーションには含まれておらず、インストールプロセス中にダウンロードされます。
これらのアプリケーションの一部には、誤解を招くようなテキストが含まれており、ユーザーはそれを受け入れる必要があります。「市場調査」プログラムがインストールされていることを説明する説明ですが、すべてのアプリケーションにこの説明が含まれているわけではありません。また、開発者のウェブサイトからそのような警告なしに直接配布されるプログラムもあります。このマルウェアは、2008年からWindows向けに存在しており、市場レポートに使用される閲覧情報や購入情報を収集すると主張しています。しかし、このプログラムはそれ以上の悪質な動作を複数実行するため、Integoはこれをスパイウェアに分類しています。
OSX/OpinionSpy は以下のアクションを実行します:
• インターフェイスのないこのアプリケーションは、ルートとして実行され (インストール時に管理者のパスワードを要求します)、感染したユーザーのコンピューター上のすべてのファイルにアクセスして変更する完全な権限を持ちます。
• 何らかの理由でアプリケーションの実行が停止した場合、システム全体のアプリケーションおよびサービス起動機能である launchd によって再起動されます。
• ポート 8254 を使用して HTTP バックドアを開きます
。 • アクセス可能なすべてのボリュームをスキャンしてファイルを分析し、大量の CPU 時間を消費します。どのようなデータをコピーしてサーバーに送信するかは明らかではありませんが、ローカル ボリュームとネットワーク ボリュームの両方でファイルをスキャンするため、ネットワーク上の大量の機密ファイルが侵入に対して無防備になる可能性が
あります。 • 感染した Mac をローカル ネットワーク経由で送受信するパケットを分析し、他のコンピューターとの間で送受信されるデータを分析します。
• ユーザーの介入なしにSafari、Firefox、iChatにコードを挿入し、これらのアプリケーションから個人データをコピーします。コードインジェクションはウイルスに似た動作の一種で、このマルウェアは実行中のアプリケーションに「感染」することで自身の操作を実行します。(Macのメモリ内にあるアプリケーションのコードに感染し、ユーザーのハードディスク上にある実際のアプリケーションファイルには感染しません。)
• ポート80と443を使用して、暗号化されたデータを複数のサーバーに定期的に送信します。これらのサーバーには、ローカルでスキャンしたファイルに関するデータに加え、メールアドレス、iChatメッセージのヘッダーとURL、その他のデータも送信されます。これらのデータには、ユーザー名、パスワード、クレジットカード番号、Webブラウザのブックマーク、履歴などの個人データが含まれる場合があります。
• 収集するデータの種類から判断すると、このスパイウェアの背後にある企業は、ユーザーの詳細な記録、習慣、連絡先、位置情報などを保管できます。
• このアプリケーションは、ユーザーの介入なしに、またユーザーが気付かないうちに、自動的にアップグレードされ、新機能が追加されます。時折、ダイアログを表示してユーザーの名前などの情報を求めたり、アンケートへの回答を求めたりします。
• このスパイウェアがインストールされたコンピュータは、一定期間後に正常に動作しなくなる場合があります。そのような場合は、Macを強制的に再起動する必要があります。
• このスパイウェアをインストールした元のアプリケーションまたはスクリーンセーバーをユーザーが削除しても、スパイウェア自体はインストールされたまま動作し続けます。
上記の通り、マーケティング目的で情報を収集すると謳うこのアプリケーションは、実際にはそれ以上のことを行います。感染したMac上のすべてのファイルをスキャンするのです。ユーザーは、どのようなデータが収集され、リモートサーバーに送信されるのかを正確に知る方法はありません。収集されるデータには、ユーザー名、パスワード、クレジットカード番号などが含まれる可能性があります。これらのデータがユーザーの許可なく収集・使用されるリスクがあるため、このスパイウェアはユーザーのプライバシーにとって特に危険です。
このアプリケーションがこのようにデータを収集し、バックドアを開くという事実は、非常に深刻なセキュリティ脅威となります。さらに、ユーザー名、パスワード、クレジットカード番号などの機密データを収集するリスクがあることから、非常に危険なスパイウェアといえます。配布は限定的ですが、Macユーザーはダウンロードおよびインストールするソフトウェアに細心の注意を払うよう警告します。対策:Intego VirusBarrier X5およびX6は、2010年5月31日以降の脅威フィルタを使用して、OSX/OpinionSpyとして識別されるこのマルウェアを検出・駆除します。
「OSX/OpinionSpy スパイウェアをインストールするアプリケーションの予備リスト」を含む詳細情報は、Intego から入手できます。
出典: インテゴ
MacDailyNews注: Macユーザーの皆様、そして他のプラットフォームをご利用の皆様へ、いつものように繰り返しお知らせしています。信頼できないソースからのアプリケーション(トロイの木馬)をダウンロードしたり、インストールを許可したりしないでください。OSはユーザー自身を守ることはできません(そうでなければ、ソフトウェアをインストールできません)。攻撃者にMacへのアクセスを許可した方は、Macが侵害されたとしても驚かないでください。
