Macでもこんなに怖いことが…

もう、何年か前からウイルス対策をしていますが、まだまだ対策されていない方も多いのでないかと思います。
先日「OS X Users」(←このリンクをクリックするとSkypeが起動します)というSkypeのオープンチャットから得た情報なのですが、以下にログを引用します。念のためアカウント名は伏せておきます。ただし、hogeさん、otsuneさんはそのまま(笑)。

OSX用のブラクラ踏んだ・・・ [発言者さん] @ 4:39
safariでそのURLひらくだけで 4:39
terminal操作されて 4:39
skypeとかichatとか全部操作されてしまった 4:39
OSXこわいです 4:39

それはこわい [メンバー01さん] @ 4:48

セキュリティソフトでその辺もチェックしてくれるものってあるんですかね? [メンバー02さん] @ 4:49

あとgoogle notifierなども操作されまくりで [発言者さん] @ 4:50
動画再生されまくりダウンロードされまくり (恐らくグロ 4:50
電源ながおしで逃げました 4:50
Version 4.0 (5530.17) 4:51
Safari Version 4.0 (5530.17) 4:51
で有効 4:51

ダウンロードして自動実行、ってやつですかね [メンバー01さん] @ 4:52

そこまで出来るんなら見た目で分からないようにトロイを仕込んでおいた方が良さそうだな otsune @ 6:30

「悪意のあるサイト」ってホントに存在するんだw hoge @ 12:16

urlは別にいいけど、どういう経緯でそこを踏んだんだか知りたい>[発言者さん] 12:17
確かに、そこまで出来るんなら、そんな派手にやることないよなー。なんらかの方法でターミナル奪って、あとはアップルスクリプトかなー? 12:19
Terminalのtelnetスキームに脆弱性が有って任意のコマンドを実行できたりとかが前にあったな otsune @ 12:20

[/ruby]

のMLです [発言者さん] @ 12:20
新しいライブラリをリリースしました! 詳細はコチラです! 12:20
→罠 12:20
http://sub.domain.tld/ruby/ruby-talk/339201-339400.shtml#latest 

どれー otsune @ 12:23

Ruby for Python 0.0.1 [発言者さん] @ 12:23

MLに仕込んであるとはw hoge @ 12:23

もともとsafariで踏んでしまったんだけど [発言者さん] @ 12:23

それも、そんなgeekがいっぱいなところでw hoge @ 12:23

番号だとどれだ otsune @ 12:23

IE, firefoxでもヤバイ模様 [発言者さん] @ 12:23

XXXXXXXX 12:24

あー、具体的なのは、表で貼らない方が。 hoge @ 12:24
誰が見てるかわからんし、短縮urlで貼られた日にゃ。 12:24
なるほど [メンバー01さん] @ 12:25

それは対処法がすでに確立されているかどうかで決まるな otsune @ 12:25

具体的にこんな対処をしました: [発言者さん] @ 12:26
「MacBook Airが熱暴走しているうちに電源ナガオシ」 12:26

すでにアーカイヴされてるなぁ aspn.activestate.com/ASPN/Mail/Message/ruby-talk/XXXXXXXX otsune @ 12:26

って、いうか、まずネットワーク切ればいいんじゃね? hoge @ 12:26

悪い事はすべてネットワーク経由でやるんだから。 12:27

ネットワークを切るのが困難な状況だったので。 [発言者さん] @ 12:27\

有線だと楽でいいなぁー。ひっこ抜くだけだし。 hoge @ 12:27\

古き良き時代なら、LANケーブルを抜くというだけで(かぶった [発言者さん] @ 12:27

とりあえず www.gnaa.us をblacklistに入れた otsune @ 12:28

onload で iframe でいろいろ起動させているんですね [メンバー01さん] @ 12:29
短縮URLは展開してからじゃないと、おしちゃいかん、ということなのかな… 12:31

gnaa.usでググってもまだそれらしいの出てきてないっぽい hoge @ 12:31\

blacklistに入れるって、どうやるんですか? [メンバー03さん] @ 13:03

hostsとかに書けば絶対に逝かないように出来そうな気がする。 hoge @ 13:06

ちょっと分かりやすく教えてもらえますか? [メンバー03さん] @ 13:12

$ sudo vim /etc/hosts [発言者さん] @ 13:15
Go1.1.1.1 gnaa.us:wq 13:15

ありがとうございます。 [メンバー03さん] @ 13:15

としてみました [発言者さん] @ 13:16

ターミナルだったんですね。 [メンバー03さん] @ 13:16
ノートン入れててもダメでしょうか? 13:17

たぶんまだどのアンチウイルスのデータベースにも載っていないのかも otsune @ 13:21

hostsって、とにかく一番先に読む、自分のローカルマシン専用のDNSみたいなもん、って考えていいのかなー。その辺あまり詳しくない。 hoge @ 13:22

gnaa.us | McAfee SiteAdvisor の Web 安全性評価
http://www.siteadvisor.com/sites/gnaa.us [メンバー04さん] @ 14:08
Norton Safe Web, from Symantec – レポートの対象サイト: gnaa.us\
https://safeweb.norton.com/report/show?url=gnaa.us 14:08
Hacked via Terminal via Safari via iChat [Archive] – Mac Forums
http://forums.macrumors.com/archive/index.php/t-403976.html 14:10

McAfeeはちゃんと検知したんだ hoge @ 16:09
そもそも、その危ないURLをMLに投稿した人って何者? 16:10

というような流れで…Safariを使ってる以上は、現状どうしようもないみたいですね。

McAfee SiteAdvisor はFirefox のアドオンです。
http://www.siteadvisor.com/download/unsupportedconfiguration.html

Firefox以外のブラウザでアクセスしても、何もダウンロードされませんのでご注意ください。