“Apple wants to make changes” Malware

しばらく使っていなかったiMac 27″ (Mid 2010)を立ち上げると、タイトルのマルウェアがいつの間にか、システムの奥深くに潜んでいました。アカウントのログインパスワードを入力するように求められます。”Cancel”ボタンを3度クリックすれば、ポップアップウィンドーを閉じることができますが、別の日にまた現れます。誤ってパスワードを入力して”OK”ボタンを押してしまうと、Safariの機能拡張ファイルが意図せずダウンロードされ、見たくもない広告を見せられることがあります。

先ずは意図せずダウンロードして追加されたSafariの機能拡張ファイルを削除しました。見たくもない広告は現れなくなりましたが、それでもアカウントにログインすると”Apple wants to make changes”が再び現れます。

当初、Mac App Storeからダウンロードした”Bitdefender Virus Scanner”を使ってウィルスをスキャンしましたが、検出できず。ネットで調べると、MalwareBytes Anti-Malwareを使えばマルウェアを見つけて隔離し、削除することが可能であることがわかりました。MalwareBytesには個人向けと法人向けがあり、個人向けの無料版(Malwarebytes 4.0 for Mac)をダウンロードしてiMacにインストールしました。すでにシステムに混入したマルウェアやスパイウェアを除去することが可能です。リアルタイムでシステムを保護するには一台年間$39.99のプレミア有料版が必要。

MalwareBytes 4.0 for MacはCatalinaにも対応しているようですが、フルディスクアクセスを許可する必要があります。(System Preferences > Security & Privacy > Privacy > Full Disk Access からMalwarebytes Protectionにチェックを入れる。)

iMacでスキャンしてみると、”Apple wants to make changes”の発生源と思われる3つのファイルが見つかりました。見つかったファイルをすぐに削除したら、”Apple wants to make changes”が現れなくなりました。(即刻削除しなくても自動的に隔離した時点で脅威にはならないそうです。)別のユーザーアカウントでマルウェア一つとPUP (Potentially Unwanted Program) が二つ見つかり、隔離中です。

フルディスクアクセスを許可した後にMacBookでスキャンしてみると、”Systweak”という名称のPUPが見つかりました。このファイルはPhotos Duplicate Cleaner appの中に潜んでいたようです。このPUPは自動的に隔離しました。尚、隔離したファイルは脅威にはならないそうです。しばらく隔離しておいて、不要であることがわかれば、削除すれば良い。初期設定では90日後に削除されますが、私は30日後に変更しました。