FC2ブログ
2019/01/29

やってしまった! 偽 Adobe Flash Player Installer で WeKnow マルウェアに感染

Mac でもウイルス対策はそれなりにやっていたつもりですが、昨日、不用意に Adobe Flash Player Installer をクリックしてしまいました。とある英語サイトを閲覧した際に Flash Player の更新を促されたのです。Flash Player は長らく使ってなかったので、更新だけはしておくか・・・と安易にクリックしたのが間違いでした。WeKnow というマルウェアに感染してしまい、未だにその影響を排除できていません。

Screen-Shot-2018-10-11.png

こんなウインドウが表示された信じてしまいますよねぇ。

weknow-ac-installer.png

ご丁寧に矢印部分に WeKnow, maccleaner をインストールするチェックが付いてる。
これがくせ者ですが、チェックを外すとどうなるかは不明

今思えば、Install 中にちょっと不思議な挙動がありました。インストールが完了したのかわからないまま Safari ブラウザが止まってしまったような。。。仕方なく Safari を再起動したのですが。。

影響は直ぐに現れました。
1. Safari のメニューバーが英語表記になった

2. Google Chrome を立ち上げてみると、これもメニューバーが英語表記になってる

3. Google Chrome が勝手に別のサイトを開く(Virus Scan系インストールサイト)

4. Safari でも勝手に別のサイトに誘導される

5. 対処法を検索しようとすると WeKnow の検索画面が表示される

weknow-ac-2.png

Google っぽい色使いの検索サイトだけど、危なっかしいのでもちろん使いませんでした。

6. 影響は更に深刻、Safari でパスワードなどの自動入力ができなくなってる

WeKnow の削除方法を Google で検索してみました。
マルウェア除去アプリなるものが色々と出てくるのですが、何が本物で何が偽物かも良くわからない。怪しい日本語表記のあるサイトは避けて、Apple Discussion Site にあった次のリンクを開いてみた。英語で書かれていたけど、指示に従って削除を試みることにしました。


まず検索エンジンを元に戻します。
システム環境設定を開いて「Profiles」があれば「AdminPrefs」をクリックして削除します。続いて、Safari の環境設定を開いて検索エンジンを Google など以前使用してたものに指定し直します。

次からがもっとやっかい。
WeKnow 関連ファイルを全て削除しないといけません。アプリケーションフォルダーに 『WeKnow.ac.app』『MPlayerX』『NicePlayer』などがあれば全て削除してゴミ箱を空にします。(私の場合、weKnowアプリは無かったような。。。)

WeKnow のアドオンも削除しないといけません。
Safari の環境設定で機能拡張のなかに 『weKnow.ac.addon』があれば削除します。Chromeでもどうようです。(私の場合、これらはありませんでした)

最後はシステムのライブラリ(通常は表示されてないので、Finder で Option キーを押しながら「移動」をクリック)に移動して、その中の Library/LaunchAgentsを開き、疑わしいファイルを全て削除します。何が疑わしいのか良くわかりませんが、次のようなファイルらしいです。

“installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”. Some other names you should look for Genieo, Inkeeper, InstallMac, CleanYourMac, MacKeeper, SoftwareUpdater, MplayerX, NicePlayer, installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist, com.aoudad.net-preferences.plist”, “com.myppes.net-preferences.plist”, “com.kuklorest.net-preferences.plist”, “com.avickUpd.plist”.

同様の操作を Library/Application Support, Library/LaunchDaemons についても行います。

まぁ、面倒なこと。
WeKnow を含む怪しいマルウェアを全て検出して削除してくれるアプリもあります。同じサイトに紹介されていた MalwareBytes というアプリです。サイトを信じてフリーアプリをダウンロード、そしてスキャンを実行してみました。いくつかの疑わしいファイルがピックアップされて、その後、全てが自動的に削除されました。そしてゴミ箱を空にしてシステム再起動。

これで対策終了・・・と思いきや、Safari の英語メニューバーは何も変わっていません。Google Chromeも同じで英語表記です。Chromeを一旦削除して新たにインストールし直しても状況は変わりませんでした。もうこれは諦めるしか無いのか。。。

Safari, Chromeとも不可解の挙動はほぼ治まりました。でも、まだ MacKeeper サイトへの誘導は時々出ます。何かが残っているのでしょうねぇ。

英語表記になっただけなら使えなく無いので諦めようとしたのですが、困ったことに Safari でパスワードなどの自動入力ができなくなっていました。これは困る!
※ いつの間にか自動入力できるようになってました。

よって、次の手段として、macOS mojave を再インストールしました。1時間半後、Macが立ち上がったので Safari を起動してみると・・・愕然としました。依然、メニーバーは英語表記のママなのです。パスワードの自動入力もできません。ただ、Chrome は日本語表記に戻っていました。

今日の所はここまでで力尽きました。ネット検索しても完全なる解決策は見当たらなかったし、本当の最後の手段はクリーンインストールしか無いのかもしれません。

ちなみに、Time Machine で復元した後でも Safari の英語表記は元に戻らなかったという書き込みもありました。このマルウェア、システムの相当深い場所で悪さをしてるのではないかと思います。

不用意なワンクリックが不幸を招きました。気の緩みは禁物ですね。


★ よろしければ、下のバナーをクリックお願いします。
  関連したランキングページに移動します。


★ ご協力有り難うございます。
関連記事

コメント

非公開コメント