新しいImulerの亜種を発見―「Your Dirty Pics」には近づかないこと
新しいImulerの亜種を発見―「Your Dirty Pics」には近づかないこと
※ この内容は、Mac 専用セキュリティソフトの老舗である フランス Intego 社のブログから転載されたものです。
Integoは、2011年9月にはじめて見つかったトロイの木馬、Imulerの新たな亜種を見つけました。
ただし現時点では、リスクは低いと考えられます – このマルウェアのサンプルは、VirusTotalウェブサイトで「your dirty pics.zip」というZIPアーカイブ内で見つかりました。
このZIPファイルには、見た目は画像ファイルのようなアイコンを持つアプリケーションが格納されています。
このファイルを開くと、バックドアがインストールされます。
注意すべきなのは、このとき、ユーザには、管理者パスワードの入力が要求されないということです。 ZIPファイルのコンテンツは、「Your Dirt」というファイルに収められた次のようなものです(不適切な部分をIntegoの塔のロゴで隠しています):
そして、この画像がユーザのデフォルトのイメージビューワで表示されるのです。
ここまで来ると、アプリケーションの痕跡を見つけることはできません。
しかし、バックドアはシステム上ですでに動作しているのです
。 このトロイの木馬は、感染したシステムに次の悪意のあるファイルを作成します:
Imulerは、主に次の2つの方法で情報を盗みます:
また、それぞれのMacに独自のIDを設定し、Macと収集されたデータを関連づけます。
バックドアは、感染したシステムに新しいファイルをダウンロードすることもできます。
この原稿執筆時点では、この機能は動作しています。
不道徳な画像でユーザの興味を惹き付けるのは、よく使われるソーシャルエンジニアリング技術です。
他人のプライベート画像が持つ誘惑に耐えられない人はたくさんおり、中には、対価を払ってしまう人もいます。
マルウェアに関する最も古い助言は、「出所の分からない画像は開かない」というものです。
そして、この助言は、今でも有効です。画像が、信頼できる友人から来たのか、知らない人から来たのかに関わらず、予告なしに猥せつ画像が届いたら、即座に削除するべきです。
画像が友人から届いたものだったなら、削除してから、その友人に画像を送ったかどうか確認してください。
その画像が本当に重要なものなら、友人はもう一度送ってくれるでしょう。
なお、Finderですべてのファイル名拡張子を表示するように設定すると、ファイルが画像なのかアプリケーションなのか拡張子で見分けられるため、こうした攻撃に少しは対抗できます。
Intego VirusBarrierをお使いなら、最新の定義ファイルが、この脅威をTrojan:OSX/Imuler.Dとして検出し、ユーザを保護します。
By Lysa Myers on September 21, 2012
出典:Intego Security Blog
Twitter:@IntegoSecurity
Mountain Lion 対応!!
ウイルスバリア X6
(ウイルス対策、不正アクセス対策、情報漏洩対策、iPhoneやiPad・iPodTouchのスキャンにも対応)
・ウイルスバリア X6 の特設ページを見る
・製品詳細を見る
インターネットセキュリティバリア
(ウイルスバリア X6 に加え、迷惑メール対策やバックアップツールなどが加わった総合セキュリティソフト)
・製品詳細を見る
Intego製品のアップデート情報などを弊社のツイッターアカウントでも公開しています。
Twitter:@act2com
Twitter:@act2support
※ この内容は、Mac 専用セキュリティソフトの老舗である フランス Intego 社のブログから転載されたものです。
Integoは、2011年9月にはじめて見つかったトロイの木馬、Imulerの新たな亜種を見つけました。
ただし現時点では、リスクは低いと考えられます – このマルウェアのサンプルは、VirusTotalウェブサイトで「your dirty pics.zip」というZIPアーカイブ内で見つかりました。
このZIPファイルには、見た目は画像ファイルのようなアイコンを持つアプリケーションが格納されています。
このファイルを開くと、バックドアがインストールされます。
注意すべきなのは、このとき、ユーザには、管理者パスワードの入力が要求されないということです。 ZIPファイルのコンテンツは、「Your Dirt」というファイルに収められた次のようなものです(不適切な部分をIntegoの塔のロゴで隠しています):
そして、この画像がユーザのデフォルトのイメージビューワで表示されるのです。
ここまで来ると、アプリケーションの痕跡を見つけることはできません。
しかし、バックドアはシステム上ですでに動作しているのです
。 このトロイの木馬は、感染したシステムに次の悪意のあるファイルを作成します:
- /tmp/.mdworker
- /tmp/updtdata
- /tmp/launch-IORF98
- ~/Library/LaunchAgents/ScheduledSync.plist
- ~/Library/LaunchAgents/ScheduledSync
Imulerは、主に次の2つの方法で情報を盗みます:
- ユーザデータを求めてシステムを検索
- スクリーンショットを撮影
また、それぞれのMacに独自のIDを設定し、Macと収集されたデータを関連づけます。
バックドアは、感染したシステムに新しいファイルをダウンロードすることもできます。
この原稿執筆時点では、この機能は動作しています。
不道徳な画像でユーザの興味を惹き付けるのは、よく使われるソーシャルエンジニアリング技術です。
他人のプライベート画像が持つ誘惑に耐えられない人はたくさんおり、中には、対価を払ってしまう人もいます。
マルウェアに関する最も古い助言は、「出所の分からない画像は開かない」というものです。
そして、この助言は、今でも有効です。画像が、信頼できる友人から来たのか、知らない人から来たのかに関わらず、予告なしに猥せつ画像が届いたら、即座に削除するべきです。
画像が友人から届いたものだったなら、削除してから、その友人に画像を送ったかどうか確認してください。
その画像が本当に重要なものなら、友人はもう一度送ってくれるでしょう。
なお、Finderですべてのファイル名拡張子を表示するように設定すると、ファイルが画像なのかアプリケーションなのか拡張子で見分けられるため、こうした攻撃に少しは対抗できます。
Intego VirusBarrierをお使いなら、最新の定義ファイルが、この脅威をTrojan:OSX/Imuler.Dとして検出し、ユーザを保護します。
By Lysa Myers on September 21, 2012
出典:Intego Security Blog
Twitter:@IntegoSecurity
Mountain Lion 対応!!
ウイルスバリア X6
(ウイルス対策、不正アクセス対策、情報漏洩対策、iPhoneやiPad・iPodTouchのスキャンにも対応)
・ウイルスバリア X6 の特設ページを見る
・製品詳細を見る
インターネットセキュリティバリア
(ウイルスバリア X6 に加え、迷惑メール対策やバックアップツールなどが加わった総合セキュリティソフト)
・製品詳細を見る
Intego製品のアップデート情報などを弊社のツイッターアカウントでも公開しています。
Twitter:@act2com
Twitter:@act2support