OS X、Chrome - 悪質なポップアップ広告を除去する。

More than 3 years have passed since last update.


環境


  • OS X 10.11.3

  • Google Chrome Version 48.0.2564.97 (64-bit)


経緯

-「Free *」という英語のサイトでうっかりと間違ったダウンロードボタンを押して、怪しいアプリがインストールされてしまった。


症状

Chromeを立ち上げ、例えばQiitaを開くと直後にいかにも偽物もカスタマーサポートページもしくは、いろんな商品の写真が閲覧中の画面上に表示される。


初期に確認したこと


Chrome > Preferences > Extensions


  • 何もインストールされていなかった。


~/Applications/


  • 怪しいアプリを削除。 症状に変化なし。


ActivityMonitor


  • 怪しいプロセスを削除。 症状に変化なし。


Chromeアンインストール


  • 再度インストール。
     症状に変化なし。


学んだこと


~/Library/LaunchAgents/に怪しいファイルがないか?

$ ls ~/Library/LaunchAgents/


~/Application Support/に怪しいファイルがないか?

$ ls ~/Library/Application Support/


ディレクトリに特定のマルウェア名が含まれているか確認

$ cd ~/Library/Application Support/Google/Chrome

$ grep -r '.' -e '<MALWARE_NAME>'


トロイの木馬の一種、"Flashmall" trojan

$ ls ~/Library/LaunchAgents


  • トロイの木馬の一種、"Flashmall" trojanらしい。

  • ~/Library/LaunchAgentsディレクトリ内に怪しいplistが存在していた。

  • 怪しいのを削除したら即、治った。

F37E9B15-05A8-48D6-A19E-BFDB744F45C5.png

84AA624C-1D8D-4AE4-9250-D573FB75AA08.png


spigot

/Users/<USERNAME>/Library/LaunchAgents/com.spigot.SearchProtection.plist

/Users/<USERNAME>/Library/LaunchAgents/com.spigot.ApplicationManager.plist
/Users/<USERNAME>/Library/Application Support/Spigot/

以上。