環境
- OS X 10.11.3
- Google Chrome Version 48.0.2564.97 (64-bit)
経緯
-「Free *」という英語のサイトでうっかりと間違ったダウンロードボタンを押して、怪しいアプリがインストールされてしまった。
症状
Chromeを立ち上げ、例えばQiitaを開くと直後にいかにも偽物もカスタマーサポートページもしくは、いろんな商品の写真が閲覧中の画面上に表示される。
初期に確認したこと
Chrome > Preferences > Extensions
- 何もインストールされていなかった。
~/Applications/
- 怪しいアプリを削除。 症状に変化なし。
ActivityMonitor
- 怪しいプロセスを削除。 症状に変化なし。
Chromeアンインストール
- 再度インストール。
症状に変化なし。
学んだこと
~/Library/LaunchAgents/に怪しいファイルがないか?
$ ls ~/Library/LaunchAgents/
~/Application Support/に怪しいファイルがないか?
$ ls ~/Library/Application Support/
ディレクトリに特定のマルウェア名が含まれているか確認
$ cd ~/Library/Application Support/Google/Chrome
$ grep -r '.' -e '<MALWARE_NAME>'
トロイの木馬の一種、"Flashmall" trojan
- このリンクが大変参考になった。(手がかりリンク)
$ ls ~/Library/LaunchAgents
- トロイの木馬の一種、"Flashmall" trojanらしい。
- ~/Library/LaunchAgentsディレクトリ内に怪しいplistが存在していた。
- 怪しいのを削除したら即、治った。
spigot
/Users/<USERNAME>/Library/LaunchAgents/com.spigot.SearchProtection.plist
/Users/<USERNAME>/Library/LaunchAgents/com.spigot.ApplicationManager.plist
/Users/<USERNAME>/Library/Application Support/Spigot/
- http://www.thesafemac.com/arg-spigot/
- http://apple.stackexchange.com/questions/171941/yahoo-search-has-hijacked-all-my-internet-browsers-safari-firefox-how-to-rem
以上。