IntegoのウイルスチームがOSX/Crisisと呼ばれるApple Macを狙う新たなトロイ
IntegoのウイルスチームがOSX/Crisisと呼ばれるApple Macを狙う新たなトロイ の木馬を発見
※ この内容は、Mac 専用セキュリティソフトの老舗である フランス Intego 社のブログから転載されたものです。
Integoは、OSX/Crisisと呼ばれる新たなトロイの木馬を発見しました。
この脅威 は、OS Xのバージョン10.6および10.7(Snow LeopardおよびLion)上でのみ動作します。
そのインストールにはユーザの操作を必要とせず、実行の際もパス ワードを要求しません。
再起動してもトロイの木馬は残り続けるため、除去されるまで実行し続けます。
また、ドロッパーが管理者権限を持つユーザアカウン トで実行されるかどうかで、インストールされるコンポーネントが変化します。
この脅威がどのようにして、実際にユーザのシステムにインストールされるのかまだ確認できていませんが、インストーラコンポーネントがroot権限を確立する可能性もあります。
ドロッパーがroot権限を持つシステム上で実行された場合は、それ自体を隠すためにrootkitもドロップされます。
いずれにしろ、その処理を完了する過程でいくつものファイルとフォルダを作成します。
root権限付きで実行すると17のファ イルを作成し、権限がないと14のファイルを作成します。その多くはランダムな名称を付けられますが、いくつかの名称は固定されています。
root権限があってもなくても、次のフォルダが作成されます:
root権限がある場合にだけ、次のフォルダが作成されます:
バックドアコンポーネントは、5分毎にIPアドレス176.58.100.37を呼び出しま す。
ファイルは、意図的に、リバースエンジニアリング・ツールで分析することが困難なように作成されています。
このような分析を邪魔する技術は、Windows マルウェアではよく見かけますが、OS Xのマルウェアでは比較的珍しいものです。
次の画像で紹介するように、その動作を隠すため、ローレベルのシステムコール を使っています:
この脅威は、まだ一般には出回っていません。このトロイの木馬がユーザに感染した形跡はありません。
ですから、現時点ではそのリスクは低いと判断しました。
IntegoのVirusBarrier X6は、今日公開されたバージョン20120724-2の定義ファイルで、このマルウェアを検出および除去できます。
ドロッパーコンポーネ ントはOSX/Crisisとして、バックドアコンポーネントはBackdoor:OSX/Crisisと して検出されます。
またバックドアコンポーネントが接続しようとする上記の IPアドレスへの接続もブロックされます。
ウイルスバリア X6
(ウイルス対策、不正アクセス対策、情報漏洩対策、iPhoneやiPad・iPodTouchのスキャンにも対応)
・ウイルスバリア X6 の特設ページを見る
・製品詳細を見る
インターネットセキュリティバリア
(ウイルスバリア X6 に加え、迷惑メール対策やバックアップツールなどが加わった総合セキュリティソフト)
・製品詳細を見る
Intego製品のアップデート情報などを弊社のツイッターアカウントでも公開しています。
Twitter:@act2com
Twitter:@act2support
※ この内容は、Mac 専用セキュリティソフトの老舗である フランス Intego 社のブログから転載されたものです。
Integoは、OSX/Crisisと呼ばれる新たなトロイの木馬を発見しました。
この脅威 は、OS Xのバージョン10.6および10.7(Snow LeopardおよびLion)上でのみ動作します。
そのインストールにはユーザの操作を必要とせず、実行の際もパス ワードを要求しません。
再起動してもトロイの木馬は残り続けるため、除去されるまで実行し続けます。
また、ドロッパーが管理者権限を持つユーザアカウン トで実行されるかどうかで、インストールされるコンポーネントが変化します。
この脅威がどのようにして、実際にユーザのシステムにインストールされるのかまだ確認できていませんが、インストーラコンポーネントがroot権限を確立する可能性もあります。
ドロッパーがroot権限を持つシステム上で実行された場合は、それ自体を隠すためにrootkitもドロップされます。
いずれにしろ、その処理を完了する過程でいくつものファイルとフォルダを作成します。
root権限付きで実行すると17のファ イルを作成し、権限がないと14のファイルを作成します。その多くはランダムな名称を付けられますが、いくつかの名称は固定されています。
root権限があってもなくても、次のフォルダが作成されます:
- /Library/ScriptingAdditions/appleHID/
root権限がある場合にだけ、次のフォルダが作成されます:
- /System/Library/Frameworks/Foundation.framework/XPCServices/
バックドアコンポーネントは、5分毎にIPアドレス176.58.100.37を呼び出しま す。
ファイルは、意図的に、リバースエンジニアリング・ツールで分析することが困難なように作成されています。
このような分析を邪魔する技術は、Windows マルウェアではよく見かけますが、OS Xのマルウェアでは比較的珍しいものです。
次の画像で紹介するように、その動作を隠すため、ローレベルのシステムコール を使っています:
この脅威は、まだ一般には出回っていません。このトロイの木馬がユーザに感染した形跡はありません。
ですから、現時点ではそのリスクは低いと判断しました。
IntegoのVirusBarrier X6は、今日公開されたバージョン20120724-2の定義ファイルで、このマルウェアを検出および除去できます。
ドロッパーコンポーネ ントはOSX/Crisisとして、バックドアコンポーネントはBackdoor:OSX/Crisisと して検出されます。
またバックドアコンポーネントが接続しようとする上記の IPアドレスへの接続もブロックされます。
Intego VirusBarrier X6のユー ザは、この脅威から保護されるためにできるだけ速やかにアップデートを実行 してください。
我々は、引き続きこの脅威の分析を行います。
詳細が分かり次第、その内容を公 開いたします。
By Lysa Myers on July 24, 2012
出典:Intego Security Blog
Twitter:@IntegoSecurity
ウイルスバリア X6
(ウイルス対策、不正アクセス対策、情報漏洩対策、iPhoneやiPad・iPodTouchのスキャンにも対応)
・ウイルスバリア X6 の特設ページを見る
・製品詳細を見る
インターネットセキュリティバリア
(ウイルスバリア X6 に加え、迷惑メール対策やバックアップツールなどが加わった総合セキュリティソフト)
・製品詳細を見る
Intego製品のアップデート情報などを弊社のツイッターアカウントでも公開しています。
Twitter:@act2com
Twitter:@act2support