JavaゼロデイにドロップされたOSX/Tsunamiの亜種を発見
新たなJavaゼロデイ・エクスプロイトCVE-2012-4681を利用して、ユーザが気付かない内にダウンロードされる手法でドロップされると噂されていた、 OSX/Tsunamiの亜種が見つかりました。感染方法は確認されていませんが、この OSXマルウェアも、CVE-2012-4681がドロップする既知のWindowsを狙うバックドアと同じIPアドレスに接続しようとするので、何らかの関連性があると考えられ ます。この原稿執筆時点では、このトロイの木馬をドロップするためめのJARファイルは、ちょっとした脅し文句に置き換えられています。どこかの誰かは、 存在がばれたことを、もう知っているようです。
まとめると、次の2つの問題があります:
Tsunamiファミリーは、もともと、2002年に作成されたKaitenと呼ばれるLinuxのハッカーツールです。Kaitenの作者は、そのソースコードを2009年にインター ネットで公開しました。そして、2011年には、OS Xを狙うバージョンが作成されたのです。つまり、これ もまたマルチプラットフォームのマルウェアなのです!
今回の亜種も、前回同様にIRCボットです。実際のところ、このマルウェアは、 当初のバージョンからほとんど変わっていません。主なボット機能は、攻撃者が異なる種類のDOS(Denial of Service)攻撃を実行できるようにします。また影響するシステムに、攻撃者がファイルをアップロードして、命令を実行させるこ とができます。こうして、ボットの管理者が他のマルウェアをインストールするために使ったり、その制御下にあるマシンで処理を実行するためのバックドアが システム上に開かれます。
このJavaゼロデイ・エクスプロイトが危険なのは、Java 7をインストールしてい るOS Xユーザだけです。そして、Java 7は、OS X 10.7あるいは10.8に、デフォ ルトではインストールされていません。つまり、お使いのMacに手動でJavaをインストールし、しかもそれが最新版にアップデートされていたら危険です。
次のいずれかの条件を満たせば、このエクスプロイトの危険にはさらされないと言えます:
従って、多くのOS Xユーザに、危険はないでしょう。そして、Intego VirusBarrierのユーザは、OSX/Tsunamiとして知られるIRCボットから保護されています。ですから、以前もお勧めした通りJavaを無効にしておいて、かつVirusBarrierの定義ファイルが最新なら、今のところ心配することはほとんどありません。また、この記事にSafariでJavaを無効にする方法が記載されています。なお、JavaとJavaScriptは、違うものですので注意してください。間違ってJavaScriptを無効にしない でください。
Oracleは、Java 7で見つかった脆弱性について、まだ公式発表していません。ま た、この問題は、今年の4月に同社に報告されていたようです。伝えられるところでは、この 問題は10月に公開されるパッチでカバーされるようです。しかし、Windowsユーザにはすで に大きな問題となっており、OS XおよびLinuxユーザにも影響しそうですから、 予定されている10月を待たずに、パッチが公開されることに期待しましょう。
By Lysa Myers on August 29, 201
まとめると、次の2つの問題があります:
- マルウェアの亜種が見つかり、
- それは、パッチされていないJavaエクスプロイトを介して拡散します 。
このマルウェアについて
Tsunamiファミリーは、もともと、2002年に作成されたKaitenと呼ばれるLinuxのハッカーツールです。Kaitenの作者は、そのソースコードを2009年にインター ネットで公開しました。そして、2011年には、OS Xを狙うバージョンが作成されたのです。つまり、これ もまたマルチプラットフォームのマルウェアなのです!
今回の亜種も、前回同様にIRCボットです。実際のところ、このマルウェアは、 当初のバージョンからほとんど変わっていません。主なボット機能は、攻撃者が異なる種類のDOS(Denial of Service)攻撃を実行できるようにします。また影響するシステムに、攻撃者がファイルをアップロードして、命令を実行させるこ とができます。こうして、ボットの管理者が他のマルウェアをインストールするために使ったり、その制御下にあるマシンで処理を実行するためのバックドアが システム上に開かれます。
パッチされていないJavaエクスプロイト
このJavaゼロデイ・エクスプロイトが危険なのは、Java 7をインストールしてい るOS Xユーザだけです。そして、Java 7は、OS X 10.7あるいは10.8に、デフォ ルトではインストールされていません。つまり、お使いのMacに手動でJavaをインストールし、しかもそれが最新版にアップデートされていたら危険です。
次のいずれかの条件を満たせば、このエクスプロイトの危険にはさらされないと言えます:
- Javaをインストールしていない。
- Javaをインストールしているが、バージョン6のままである。
- Javaをインストールしたが、無効にしている。
- 10.6以前のMac OS Xを使っている(Java 7には、10.7以降のMac OS Xが必 要)。
従って、多くのOS Xユーザに、危険はないでしょう。そして、Intego VirusBarrierのユーザは、OSX/Tsunamiとして知られるIRCボットから保護されています。ですから、以前もお勧めした通りJavaを無効にしておいて、かつVirusBarrierの定義ファイルが最新なら、今のところ心配することはほとんどありません。また、この記事にSafariでJavaを無効にする方法が記載されています。なお、JavaとJavaScriptは、違うものですので注意してください。間違ってJavaScriptを無効にしない でください。
Oracleは、Java 7で見つかった脆弱性について、まだ公式発表していません。ま た、この問題は、今年の4月に同社に報告されていたようです。伝えられるところでは、この 問題は10月に公開されるパッチでカバーされるようです。しかし、Windowsユーザにはすで に大きな問題となっており、OS XおよびLinuxユーザにも影響しそうですから、 予定されている10月を待たずに、パッチが公開されることに期待しましょう。
By Lysa Myers on August 29, 201