トロイの木馬「OSX.RSPlug.D」
OSX.RSPlug の亜種であるトロイの木馬「OSX.RSPlug.D」が発見されました。
ポルノサイトで発見されたもので、
該当するサイトを訪問すると、「Video ActiveX Object Error」エラーがあったと警告され、「Browser cannot play this video file(ブラウザがこのビデオファイルを再生できません)」とメッセージが表示されます。警告では、ユーザに「missing Video ActiveX Object」をダウンロードするように促します。ユーザがOKをクリックしてしまうと、cleanlive.dmgというディスクイメージがダウンロードされます(この名称は、今後変わるかも知れません。最初のRSPlug Trojan Horseでも異なる名称が発見されています)。ユーザのブラウザの設定によっては、このディスクイメージがマウントされ、自動的にインストールが開始されます。Video ActiveX Objectに関する警告が表示された際に、ユーザがCancelをクリックすると、「Please install new version of Video ActiveX Object(Video ActiveX Objectの最新版をインストールしてください)」という別の警告が表示されます。この警告では、ユーザはOKしかクリックできませんが、OKをクリックすると、最初の警告に戻ります。この警告から脱出するには、感染したディスクイメージをダウンロードするか、ブラウザを終了するしかありません。
ニュースおよびプレスリリース
基本ではありますが、素性のわからない怪しいファイルはダウンロードしないこと。
Safari の環境設定「ダウンロード後、“安全な”ファイルを開く」のチェックを外しておくこと。
また、詳細、続報については、書きたいと思います。
- 追記
Intego に日本語の解説が掲載されたので、引用部分を変更しました。