HaloScan.com - Comments

sanjirooo: OSX が話題になることが増してきたことはうれしいのですが、招かれざる客も当然増えるのでしょうね。お示しのサイトで、早速チェックしました。セーフでした。
ありがとうございました。; 投稿日時 2007-11-03T02:17:36+09:00
OKAMURA: sanjirooo さん:
もう Leopard でしたっけね。
ClamAV で検出できるかテストして、検出できなかったら検体として送るために誰かセーフじゃない人いないかなあと思ったり思わなかったり。; 投稿日時 2007-11-03T10:03:23+09:00
Shinobu: 自分のPCがDNSChangerに感染したようなのです。それで、駆除（削除？）を試みようとしたのですが、Internet Plug-Ins の中に plugins.setting を見つけることができません。なぜでしょうか？
iMac G5 OSX 10.3.9 を使っています。
ClamXav を使ってもウイルスは検出されませんでしたとなります。 DNSChangerRemoval Toolを使っても同じでした。ただMacScanを使うと検出されます。その都度削除をしますが、何度やっても検出されるので、100％感染していると思うのですが...。どうしたらいいんでしょうか？; 投稿日時 2008-02-17T14:33:49+09:00
OKAMURA: Shinobu さん:
ということは
・実は感染していない。(MacScan の誤検出)
・ここで紹介したものと異なるものに感染している。
のどちらかです。何れにしろ紹介した情報が全面的に役に立つわけではないということです。

私が知っている DNSChanger (OSX.RSPlug.A) と同種の悪さをするものであれば、記事で紹介している scutil コマンドを使った確認が有効です。その直前の sudo crontab -l は攻撃手段が仕込まれているかどうかの確認で、scutil の方は攻撃の結果が効力を持っているかどうかの確認です。同じ効果を狙ったものなら後者で必ず確認できるでしょう。

それで感染の確認がとれなければ、何か感染しているなら攻撃の種類すら異なるもので、それを DNSChanger という名前で検出する MacScan が変だということになります。何にも感染してなのならばやはり MacScan が変だということになります。

ですから MacScan の結果を検証するために scutil コマンドを使って調べてみるのがよいでしょう。; 投稿日時 2008-02-17T22:55:30+09:00
Shinobu: 教えて頂き、ありがとうございます。最初にターミナルを調べた時に
"/Library/Internet Plug-Ins/QuickTime.xpt">/dev/null 2>&1
を発見し、
Internet Plug-Insの中にあった
QuickTime Plugin.pluginと
QuickTime Plugin.webplugin
を削除しました。
これは何か関係ありますか？
今はターミナルを開いてscutilを入力すると>が出て終わりです。sudo crontab -r の後にパスワードを入れると、remove crontab for root?と出ます。MacScanではTracking Cookieだけが出るようになりました。もし違うウイルスに感染していたとなると、どうやって探せば良いのでしょうか？ちなみに、当初感染した時のページに行くと、勝手にインストーラーが立ち上がりnitrocodec.dmg や blackcodec1002.dmgが現れます。毎日違う名前になってるみたいです...。; 投稿日時 2008-02-18T01:11:22+09:00
OKAMURA: Shinobu さん:
> /Library/Internet Plug-Ins/QuickTime.xpt">/dev/null 2>&1
> を発見し、
きっとそれが「攻撃手段」でしょう。しかし、QuickTime Plugin.plugin と QuickTime Plugin.webplugin は私のところにもあります。書き換えられていなければそれは Safari の QuickTime のプラグインだと思います。

> scutil を入力すると>が出て終わりです。
その後に
show State:/Network/Global/DNS
と scutil に指示を与えてください。scutil は指示待ちの状態でまだ何もしていません。

> sudo crontab -r の後にパスワードを入れると、
> remove crontab for root?と出ます。
ご自分で設定したとか何かのソフトウェアがそう設定したということでなければ、この確認に
yes
と答えてください。特に凝ったことをしていないのでしたら yes と答えて大丈夫です。

> 勝手にインストーラーが立ち上がり
そうなるのは大変危険です。今すぐにそうなる設定を解除しましょう。きっと Safari をお使いですよね。私は Safari を普段使用していないので、方法を調べて後ほどコメントします。

それとその nitrocodec.dmg や blackcodec1002.dmg をダウンロードさせるページを教えていただけますか? 私が持っている各種ウィルス対策ソフトの能力検証用に検体を集めています。対応していないソフトがあったら、製造元に知らせて対応を促します。もし私が悪用しないと信用していただけるのでしたら、記事にある「フィードバック」のリンクで私にメールを出せます。メールで URL を教えてください。コメントに書くと誰でも見られるので、見た人が不用意にアクセスすると危険です。; 投稿日時 2008-02-18T13:01:56+09:00
OKAMURA: 先程の Safari で勝手にインストーラが立ち上がらないようにするための設定です。

1. Safari の環境設定を開く。
2. [一般] アイコンをクリックする。
3. [ ダウンロード後、“安全な”ファイルを開く] チェックボックスのチェックを外す。
4. Safari の環境設定を閉じる。

です。

ダウンロードしたものが自動で開かれる(実行される)ことはなくなります。不便な場面もありますが、Safari を通して何かに感染する危険をかなり低くできます。; 投稿日時 2008-02-18T13:09:15+09:00
Shinobu: ありがとうございます！！メールにて問題のページのリンクをお送りしましたので、検証してみて下さい。お忙しいところご尽力頂き、本当に感謝しています。; 投稿日時 2008-02-18T21:31:03+09:00