我が家のMacは常時起動していて、今月に入ったくらいから、朝にMacを見るとGoogle Chromeが落ちるようになりました。 落ちてるので、Chromeを立ち上げると、何か見知らぬサイトが毎回開かれるのです。
URLを見ると、”https://search.eliaho.com/”
何か気持ち悪いなぁと思い、Little SnitchでOutgoingをDeny設定にして、調べた所、Adware.Genieoと言うマルウェアに該当し、Mac OS Xマシン上で動くSafari、Chrome、Firefoxの検索エンジンとホームページを書き換えるとの事。
ちなみに、ClamAVなどのウィルスチェックソフトでは検出されず、無料のマルウェアチェックソフト「Malwarebytes」と言うソフトで確認しました。
感染原因
何のアプリかは覚えていませんが、ネット上からアプリをダウンロードしてインストールした時に、インストール後に更にInstaller.appでインストール要求したことがあり、恐らく、その際にマルウェアを仕込まれたと推測しています。
その時には、アプリをインストールしたはずなのに、再度、要求してくるって変だな?と思ってましたが、インストールしたアプリと関連性あるものだと思って、ポチッとクリックしてしまったのでしょう。
調査
Mac内にeliahoが含まれているmdfindでファイルを検索してみました。
/Applications/Eliaho /Applications/Eliaho/Uninstall Eliaho.app /Applications/Eliaho/Uninstall_Readme.txt /Users/hoge/Library/Preferences/com.Eliaho.global.settings.plist /Users/hoge/Library/Preferences/com.Eliaho.plist /Users/hoge/Library/Preferences/com.Eliaho.settings.plist /Users/hoge/Library/Application Support/Eliaho /Users/hoge/Library/Application Support/Eliaho/Eliaho.app /Users/hoge/Library/Application Support/Firefox/Profiles/ro2kqx05.default/prefs.js /Users/hoge/Library/Application Support/Firefox/Profiles/ro2kqx05.default/searchplugins/my-homepage.xml /Users/hoge/Library/Application Support/Google/Chrome/Default/Local Storage/http_search.eliaho.com_0.localstorage /Users/hoge/Library/Application Support/Google/Chrome/Default/Local Storage/http_search.eliaho.com_0.localstorage-journal /Users/hoge/Library/Application Support/Google/Chrome/Default/Local Storage/http_www.eliaho.com_0.localstorage /Users/hoge/Library/Application Support/Google/Chrome/Default/Local Storage/http_www.eliaho.com_0.localstorage-journal /Users/hoge/Library/Application Support/Google/Chrome/Default/Preferences /Users/hoge/Library/Caches/Metadata/Safari/History/http:%2F%2Fsearch.eliaho.com%2F?c=35&v=insMac&t=1507&ap=680970045&r=0.webhistory /Users/hoge/Library/LaunchAgents/Eliaho.download.plist /Users/hoge/Library/LaunchAgents/Eliaho.ltvbit.plist /Users/hoge/Library/LaunchAgents/Eliaho.update.plist
対策
調査結果のテキストを見ると、アプリケーションフォルダにEliahoと言うフォルダがあり、そこにアンインストールのアプリが収容されていますので、これを起動するとアンインストールされるのではないかと想像しますが、マルウェアを仕込んだアンインストールがそう簡単に消してくれるとは信じがたいので、手動で対策することにした。
まずは、eliahoに関連するファイルを削除
- アプリケーションフォルダ内のeliahoを削除 # rm -rf /Applications/Eliaho
- ライブラリのPreferences内のeliahoを削除 $ rm ~/Library/Preferences/com.Eliaho*
- ライブラリのApplication Support内のeliahoを削除 $ rm -rf ~/Library/Application Support/Eliaho
- Chrome内の削除
$ rm ~//Library/Application Support/Google/Chrome/Default/Local Storage/http_search.eliaho.* - ライブラリのLaunchAgents内のeliahoを削除 $ rm ~/Library/LaunchAgents/Eliaho*
この最後のLaunchAgents内のファイルが、毎日悪さをしていたのだと推測されますね。
次に、書き換えられたブラウザを修正
Google Chrome
Chromeでは、「起動時」と「デザイン」の2箇所の修正が必要です。
Chromeの環境設定を開き、デザイン欄のホームページ設定にeliahoのURLが書かれているので、消しましょう。
また、「起動時」のチェックが特定のページを開く設定にされているので、ここも書き換えられているので消しておきましょう。
起動時の設定では、新しいタブか前回開いたページにチェックを入れておいたほうが良いですね。
Firefox
FirefoxのPreferencesを開き、Home Page入力欄にeliahoのURLが書かれているので、消しましょう。
また、設定ファイル(prefs.js)内にも含まれているので、リセットしておきましょう。
FirefoxのURL入力欄に、”about:config”と入力し、設定ファイルページの検索で、”eliaho”と入力し、下記のように表示されれば、右クリックしてResetしましょう。
Safari
Safariの環境設定を開き、一般タブのホームページ欄にeliahoのURLが書かれているので、消しましょう。
この他にも各ブラウザーの検索エンジンにeliahoが登録されている場合があるので、検索エンジンの候補にeliahoがあれば、削除しましょう。
まとめ
今回のEliahoマルウェアは、ブラウザの検索エンジンやデフォルトホームページを書き換えただけでなく、検索関連の情報を収集して、定期的にEliahoのサーバーへ送信(update)されていたようです。
ネット上からダウンロードしたアプリをインストールするときには、慎重に行いましょう。
また、マルウェアの場合はウィルスチェックソフトに引っかからないものがあるので、定期的にマルウェアをチェックすることをおすすめします。
記事上で紹介しました無料のマルウェアチェックソフト「Malwarebytes」は、Mac上のすべてをチェックしても検索が早く、削除も可能なので、おすすめなアプリです。
コメント