2015年12月9日
株式会社Doctor Web Pacific
同種のプログラムの他の亜種と同様、 Adware.Mac.Tuguu.1は様々な追加アプリケーション(通常は役に立たないアプリケーションですが、中には悪意のあるものもあります)をユーザーのMac上に密かにインストールします。それらアプリケーションがインストールされる度に、 Adware.Mac.Tuguu.1の開発者が報酬を得るようになっています。
Adware.Mac.Tuguu.1はMac OS X向けのフリープログラムを装って拡散されていました。この危険なアプリケーションは起動されると自身のセットアップファイルと同じフォルダ内にある「.payload」設定ファイルの中身を読み込み、C&Cサーバーのアドレスを検出して改変します。次に、ユーザーに対してインストールを促す追加プログラムのリストを取得するために、暗号化されたリクエストを用いてC&Cサーバーに接続します。サーバーからの応答も同様に暗号化され、ユーザーのMac上にインストールするアプリケーションを決定する複数のフィールドを含んでいます。インストーラによって使用される内部の数字から、プログラムは736個あると推測されます。全てのプログラムは、それぞれ条件によって決定された「レート」を持っています。すなわち、一度にインストールすることのできるアプリケーションの数に上限があるため、インストーラは特定のアルゴリズムを使用することで、許容される最大限の「レート」になるよう最適な互換性のあるソフトウェアのリストを作成しようとします。
Adware.Mac.Tuguu.1はプログラムをインストールする前に、それらに互換性があるかどうかを確認します。例えば、MacKeeperアプリケーションと一緒にMacKeeper Groupedアプリケーションをインストールすることはありません。また、そのようなソフトウェアが既にMac上にインストールされていないかどうかについても確認を試みます。 Adware.Mac.Tuguu.1はプログラムのインストールが完了したことを確認した後、動作を終了します。
Adware.Mac.Tuguu.1のダイアログにはカスタムインストールモード(Custom Installation mode)があり、追加プログラムのインストールを拒否するためのチェックボックスが表示されています。そのため、この悪意のあるプログラムはトロイの木馬として分類されていません。しかし一方で、 Adware.Mac.Tuguu.1はユーザーの不注意に付け込んで不要なソフトウェアをOS内にばら撒く機能を備えた典型的なアドウェアです。Dr.Web Anti-virus for Mac OS Xはこのプログラムを検出・削除することができるため、Dr.Webユーザーに危害が及ぶことはありません。