Apple の脅威の通知と金銭目当てのスパイウェアへの対策について

Apple の脅威の通知と金銭目当てのスパイウェアへの対策についてが公開されました。

しばらく返答が寄せられていないようです。 再度ディスカッションを開始するには、新たに質問してください。

ユーザのユーザプロフィール: majinboo
majinboo 作成者
ユーザレベル: レベル 1
10 ポイント

login.keychain.sb-xxxxx

~/Library/Keychains/ 以下に


login.keychain.sb-1558d52c-RzPsnf

のような名前のファイルが大量にできます.

RzPsnf の部分が異なります.


% ls -l login.keychain.sb-*|wc -l

178


のような感じです. ほっておくとどんどん増殖します.

この 1558d52c を /var/log 以下で grep かけると, /var/log/asl/ 以下のいくつかのファイルが

バイナリファイルですがひっかかるようですが, 中味がバイナリで不明なので

その以上追跡できません.


削除してもあらわれ, syslog にも特に関係しそうな情報が出ていないので

謎です.


ぐぐっても海外のApple サポートにかろうじて .sb-xxx が1件ひっかかっただけでした.


SnowLeopard から Lion に upgrade したものを, 新しい MBA にバックアップ(Timemachine)から

リストアして使用しています.

何か原因として考えられることがあればお願いします.

MacBook Air, Mac OS X (10.7.4)

投稿日 2012/08/31 15:27

返信
返信: 24
ユーザのユーザプロフィール: ni_ki
ni_ki
ユーザレベル: レベル 9
60,222 ポイント

2012/08/31 20:29 majinboo への返信

plistファイルが再作成に失敗したときに残る残骸に似てますね。キーチェーンのファイルが破損しかけているのでは無いでしょうか。

キーチェーンアクセス.appからFirst Aidを実行してみては如何でしょうか。


それと、まだでしたらSafe Bootとアクセス権を修復もしてみて下さい。


なお、私のところにも1つ類似ファイルがありました。


MacBook Pro(17-inch,Late 2011)OS X10.8.1

ファイルが作成されたのはOS X10.7.4当時。

返信
ユーザのユーザプロフィール: majinboo
majinboo 作成者
ユーザレベル: レベル 1
10 ポイント

2012/09/01 11:07 ni_ki への返信

ありがとうございます. First Aid は何度か試してますが, 解決せずでした.

Safe boot はやってなかったので(修復はやってましたが), Safeboot してディスクユーティリティで

アクセス権の修復をしてみましたが, login.keychains に間しては文句言いませんでした.

実際その直後消したはずの sb-* ファイルがまた 173 個できていました.

その後も safeboot の状態で, 何度か 173 個新規発生しました.

173 個が一定なのが何かあるかもしれません.


再起動後も再度発生し, やはり 173 個でした.

リセットして復元できるなら一旦リセットしてみようと思うのですが, 覚えてるパスワードをまた一からと

思うとふんぎりもつきません. よろしくお願いします.

返信
ユーザのユーザプロフィール: majinboo
majinboo 作成者
ユーザレベル: レベル 1
10 ポイント

2012/09/01 11:14 ni_ki への返信

あと, もう一点気になることがあります.

login.keychain の日付が全く更新されません. touch login.keychain するとpermission denied ですが,

sudo で更新はされます. 自分で更新されないあたり permission かと思うのですが,

アクセス権の修復で修復されてないのでしょうか.


あと, 作られるファイルは基本 サイズは login.keychain と同じですが,

md5 値が異なるので中味が違うファイルであることはわかっています.

% md5 login.keychain

MD5 (login.keychain) = 9ce4aa4a2a213dbbc99db8dac6bcdd09

% md5 login.keychain.sb-1558d52c-D0BAGf

MD5 (login.keychain.sb-1558d52c-D0BAGf) = 8190f9310430b2ac5e7a55e065cfea28

返信
ユーザのユーザプロフィール: はに
はに
ユーザレベル: レベル 9
69,707 ポイント

2012/09/01 11:38 majinboo への返信

login.keychain の所有者はユーザです。sudo をつけないとエラーになるというのはおかしいと思いますが。

ひょっとしてこれが不具合と関係している可能性は?

自分のところでは、

$ ls -l Library/Keychains

total 656

-rw-r--r--@ 1 xxxx xxxx 290228 5 10 08:21 login.keychain

となってます。xxxx は自分のアカウントです。


また、何故日付を更新しようと思われるのでしょうか?そんなことは必要ないように思いますけど。

なお、アクセス権の修復で修復されるのはインストーラでインストールしたものだけです。ユーザホームのものは、アクセス権の修復では修復できません。復元ディスクからなら修正できたような(記憶が定かではありません)。

返信
ユーザのユーザプロフィール: majinboo
majinboo 作成者
ユーザレベル: レベル 1
10 ポイント

2012/09/01 11:46 はに への返信

ありがとうございます.

日付を修正したかったわけではなく, 最も簡単なアクセス権の確認が touch だったということです.

やはり, アクセス権に問題がありそうですね.

ls -l での表示は全く同じです. 自分の username と groupname が正しく表示されており,

ls -a@l で表示すると(今この方法に気付きました)

-rw-r--r--@ 1 xxxxxxxx yyyyy 1139952 9 1 11:10 login.keychain

com.apple.quarantine 49

-rw-r--r--@ 1 xxxxxxxx yyyyy 1139952 9 1 11:03 login.keychain.sb-1558d52c-D0BAGf

com.apple.quarantine 46

となります.

# com.apple.quarantine というのは何でしょうか.

やはりこのあたりのアクセス権の問題という気がしてきました.

通常のUNIX の範囲(chmod でできる範囲)ではなく acl とかでしょうか(このあたり詳しくありません)

修正方法がわかればお願いします.

返信
ユーザのユーザプロフィール: はに
はに
ユーザレベル: レベル 9
69,707 ポイント

2012/09/01 11:55 majinboo への返信

> ls -a@l で表示すると


これ表示させたときの結果は、com.apple.quarantine の後の数字が違う以外は同じです。

ちなみに、うちでは、38になってます。


ところで、別アカウントでログインするとどうなんでしょう?やはり、login.keychain.sb-... はできますか?もし別アカウントが無ければ、テスト用に作ってみてください。

返信
ユーザのユーザプロフィール: majinboo
majinboo 作成者
ユーザレベル: レベル 1
10 ポイント

2012/09/01 12:17 はに への返信

移行時に作成していた別の管理アカウントと一般ユーザーの test user アカウントをつくって

確かめてみました. login.keychan.sb-* はできず,

もどってみたら, login.keychain.sb-* が さっきまで2個だったのが

2+ 173x2 = 348 個になっていました.


なお, 別の管理アカウントもテストユーザーも

ls -la@ では @ での情報が表示されません.

追加の属性がないということでしょうか.


いらない属性を解除すれば直るかなと思うんですが, はにさんも同様に出るんですよね.

うーん.

返信
ユーザのユーザプロフィール: ni_ki
ni_ki
ユーザレベル: レベル 9
60,222 ポイント

2012/09/01 12:24 majinboo への返信

いらない属性を解除すれば直るかなと思うんですが, はにさんも同様に出るんですよね

管理者アカウントをもう一つ作ってからキーチェーンをバックアップ後、ACLを削除して見てはいかがでしょうか。chmodでできたはずです。

返信
ユーザのユーザプロフィール: HAL
HAL
ユーザレベル: レベル 6
13,990 ポイント

2012/09/01 12:29 majinboo への返信

ぐぐっても海外のApple サポートにかろうじて .sb-xxx が1件ひっかかっただけでした.


そんなことないですよ。"login.keychain.sb" あたりをキーワードに検索をかければGoogleでもUSのディスカッションボードでもいくつかひっかかります。下記は参考になりませんか?

Avoiding old bugs upon reinstall: Apple Support Communities

要約すると、login.keychainとmetadata.keychainを一旦デスクトップに退避して、Keychainsフォルダをゴミ箱に捨てる。同じ場所にKeychainsフォルダを新しく作成(とあるけど、キーチェーンアクセスを立ち上げれば勝手に作られるのでそれに任せるのがいいと思う)して2つのファイルを元に戻す・・・とそんな感じ。

返信
ユーザのユーザプロフィール: Hiro__S
Hiro__S
ユーザレベル: レベル 5
5,063 ポイント

2012/09/01 14:20 majinboo への返信

com.apple.quarantine というのは何でしょうか.


ご参考

http://www.macworld.com/article/1142457/snowleopard_malware.html

http://support.apple.com/kb/HT3662?viewlocale=ja_JP&locale=ja_JP


いらない属性を解除すれば


セキュリティ関連の拡張属性なので、トラブルシューティングを目的とした「実験的な削除」なら別ですが、それ以外の理由で削らない方が良いと思いますよ。

返信
ユーザのユーザプロフィール: majinboo
majinboo 作成者
ユーザレベル: レベル 1
10 ポイント

2012/09/01 20:52 ni_ki への返信

そうですね. 一応 cp -p で コピーして ls -le@ で見ると情報は全く同じなので,

login.keychain の ACL などの拡張属性を削除することはできそうです.

しかし, 他の Lion でも同じような属性がついていますが, 問題は起きていませんので,

とりあえず, 見送ることにします.

返信
ユーザのユーザプロフィール: majinboo
majinboo 作成者
ユーザレベル: レベル 1
10 ポイント

2012/09/01 20:56 HAL への返信

HAL さん. 確かにそれなりにあるのですが, 関係ありそうなのが見当らなかったという意味です.

深くまで読めてないので, 見落していたようです.

ご指摘のURL は同じ症状ですね.

しかし, Desktop に backup して削除して再作成というのは実はすでにためしてまして,

だめだったのです.

もう一度ためしてみます.

ありがとうございました.

返信
ユーザのユーザプロフィール: Hiro__S
Hiro__S
ユーザレベル: レベル 5
5,063 ポイント

2012/09/01 21:13 majinboo への返信

拡張属性 com.apple.quarantine からファイルのダウンロード元を調べる方法です。cd コマンド等は書きませんので、適宜読み替えてください。また、当方の環境は Snow Leopard なので、若干違うかもしれませんが一応情報ということで。


例) Safari でダウンロードした "Firefox 14.0.1.dmg" の場合


1. 拡張属性 com.apple.quarantine の中身を表示

$ xattr -p com.apple.quarantine "Firefox 14.0.1.dmg"


2. 結果を控えておく

0000;5040776b;Safari;F56E0365-7A4E-45A8-8AC7-05B0B9149E79|com.apple.Safari


3. ~/Library/Preferences/com.apple.LaunchServices.QuarantineEvents の中身を表示

$ sqlite3 "com.apple.LaunchServices.QuarantineEvents" 'select * from LSQuarantineEvent;'


4. F56E0365-7A4E-45A8-8AC7-05B0B9149E79 で検索

結果はこんな感じ

F56E0365-7A4E-45A8-8AC7-05B0B9149E79|368094955.0|com.apple.Safari|Safari|http://releases.mozilla.org/pub/mozilla.org/firefox/releases/14.0.1/mac/ja-JP-mac/Firefox%2014.0.1.dmg|||||http://releases.mozilla.org|

返信
ユーザのユーザプロフィール: majinboo
majinboo 作成者
ユーザレベル: レベル 1
10 ポイント

2012/09/02 13:39 Hiro__S への返信

xattr の結果は

0001;4fe8dfb3;Google\x20Chrome;|com.google.Chrome

と出ますね. なぜ, login.keychain の属性に Chrome が出てくるのかよくわからないですが.

# Download 先情報などがはいるはずですよね??


次の sqlite3 ですが,

Error: no such table: LSQuarantineEvent

がでます. Lion だからでしょうね.


sqlite3 "com...." だけやって

sqlite> .tables

としてみましたが, 何も出てきませんでした. table なしということでしょうか??


現在のところ, sb- ができておらず, まだ削除・復活はやっていませんが.


状況報告まで.

返信

login.keychain.sb-xxxxx

Apple サポートコミュニティへようこそ
Apple ユーザ同士でお使いの製品について助け合うフォーラムです。Apple ID を使ってご参加ください。
詳しくはこちら サインアップ