act2.com blog

Intego 社やその他の企業による調査で、それぞれのシンクホールが異なるMac 感染台数を示す理由がわかる、興味深い情報が確認されました。

（今日のブログ記事、「Mac への Flashback 感染率は過小に認識されている事実」をご覧下さい。）

上記の通り、Flashback マルウェアは .com/.net/.info/.in/.k zなど、最上位ドメイン名を探します。これらのドメインのいくつかに対しては、Dr Web 社のシンクホールが感染した Mac をとらえているようですが、その他のドメイン、.net/.in/.kz は、テストの結果Flashback マルウェアがコンタクトを試みたドメインは、IPアドレス 127.0.0.1 またローカルホスト（感染したMac自体）に変換しています。

Flashback マルウェアがコンタクトを試み、そのリクエストを Mac へとリダイレクトするドメインをブロックするルート DNS サーバに対しての責任がある企業とアクションを起こしたように見えます。ここでの効果とは、Mac は感染した状態ですが、コマンドやコントロールサーバにコンタクトする事ができません。特にシンクホールによって数えられないということになります。しかしながら、Flashback マルウェア感染の本当の範囲はわかりません。

それぞれの ISP の DNS サーバによって、この情報は広まる可能性も広まらない可能性もありますので、Flashback コマンドやコントロールサーバにコンタクトを試みた際に、Mac は様々な国においてそれぞれ異なる結果になる可能性があります。

これらのドメインが 127.0.0.1 に変換するかどうかを自身でテストする事が可能です。ドメインのリストを下記に記載しました。

（もし OpenDNS を使用であれば、これらのドメインはアドレスに変換して下さい。）

sebaskasibpjwi.net

ozpvwivilizpzss.com

bzdtheaihrwkxth.com

snefmftspawaa.com

mwdhfqtevddz.com

ocbelvodhpuu.com

qpjlagydkmnm.com

fzvmiozlzxqs.com

qsyfcfmukmiqq.com

mgmuloyfopbrna.net

snefmftspawaa.com

「ターミナル」で下記のコマンドを実行：

例えば、リストの最初のドメインをテストする場合には下記のコマンドを実行：

留意：DNS レベルでリダイレクトされる場合、ホストコマンドの実行時に、”not found” のメッセージが表示されます。

- Intego Mac Security Blog より引用
文責
@MikiyaKato