Integoのセキュリティ研究者が、Macに影響を与える新たなトロイの木馬を発見しました。「OSX/Crisis」と呼ばれるこのマルウェアは、OS X Snow LeopardまたはLionにのみ感染し、システム(およびマルウェア対策ツール)から身を隠すための複数の機能が組み込まれています。
Integoブログより:
Integoは、OSX/Crisisと呼ばれる新たなトロイの木馬を発見しました。[…] このトロイの木馬はユーザーの操作を一切必要とせず、実行にパスワードも必要ありません。このトロイの木馬は再起動を回避できるため、削除されるまで動作し続けます。ドロッパーがルート権限を持つユーザーアカウントで実行されるかどうかによって、異なるコンポーネントがインストールされます。この脅威がユーザーのシステムにインストールされるかどうか、またどのようにインストールされるかはまだ確認されていないため、インストーラコンポーネントがルート権限の取得を試みる可能性が考えられます。
幸いなことに、このマルウェアのリスクは非常に低いと評価されており、実際に実環境で確認された例はまだありません。興味深いことに、このトロイの木馬がシステムにどのような影響を与えるかは正確には不明です。このマルウェアは多数のファイルを作成し、リモートサーバーに接続しますが、実際の攻撃手法は依然として不明です。
Appleは通常、新しいマルウェアを迅速に特定して削除するため、OS Xに組み込まれているマルウェア除去ツールも近い将来にアップデートされ、新たな脅威に対応すると予想されます。Integoのセキュリティ情報全文は以下をご覧ください。
INTEGO セキュリティメモ – 2012 年 7 月 24 日
IntegoウイルスチームがApple Macを狙う新たなトロイの木馬「OSX/Crisis」を発見
マルウェア: OSX/Crisis
リスク: 低。このマルウェアはまだ実環境で確認されていません。ユーザーの許可なくインストールされ、ルート権限でインストールされた場合は巧妙に隠蔽されます。
説明: Integoは、トロイの木馬ドロッパーである新たなトロイの木馬「Crisis」を発見しました。このトロイの木馬は実環境ではまだ確認されていませんが、OS Xマルウェアとしては珍しい、解析回避とステルス機能を備えています。
この脅威は、OSXバージョン10.6および10.7(Snow LeopardおよびLion)でのみ動作します。ユーザーによる操作を必要とせず、実行にパスワードは不要です。このトロイの木馬は再起動後も自己保存されるため、削除されるまで動作し続けます。ドロッパーがルート権限を持つユーザーアカウントで実行されるかどうかに応じて、異なるコンポーネントがインストールされます。この脅威がユーザーのシステムにインストールされるかどうか、またどのようにインストールされるかは不明ですが、インストーラーコンポーネントがルート権限の取得を試みる可能性が考えられます。
ドロッパーがルート権限のあるシステムで実行されると、自身を隠蔽するためにルートキットをドロップします。いずれの場合も、タスクを完了するために多数のファイルとフォルダを作成します。ルート権限で実行された場合は17個、ルート権限なしで実行された場合は14個のファイルです。これらのファイルの多くはランダムに命名されていますが、一貫性のあるものもあります。
ルート アクセスの有無にかかわらず、このファイルがインストールされます。
/ライブラリ/ScriptingAdditions/appleHID/Contents/Resources/appleOsax.r
ルート アクセスがある場合にのみ、次のファイルがインストールされます。
- /System/Library/Frameworks/
Foundation.framework/ XPCServices/com.apple. mdworker_server.xpc/Contents/ MacOS/com.apple.mdworker_ server - /System/Library/Frameworks/
Foundation.framework/ XPCServices/com.apple. mdworker_server.xpc/Contents/ Resources/
バックドアコンポーネントは5分ごとにIPアドレス176.58.100.37にコールバックし、指示を待ちます。このファイルは、リバースエンジニアリングツールによる解析を困難にすることを目的として作成されています。このような解析回避手法はWindowsマルウェアでは一般的ですが、OS Xマルウェアでは比較的まれです。
保護手段: VirusBarrier X6 (www.intego.com/virusbarrier/) は、2012 年 7 月 24 日以降のマルウェア定義を使用して、ユーザーをこのマルウェアから保護します。VirusBarrier X6 のリアルタイム スキャナは、ファイルがダウンロードされたときにそれを検出し、アンチスパイウェア保護により、ユーザーがトロイの木馬をインストールしている場合はリモート サーバーへの接続をすべてブロックします。Mac App Store でのみ入手可能な VirusBarrier Express と VirusBarrier Plus は、2012 年 7 月 24 日以降のマルウェア定義を使用してこのマルウェアを検出しますが、これらのプログラムには、Mac App Store の制限によりリアルタイム スキャナが搭載されていません。そのため、ユーザーは最新のマルウェア定義にアップデートした後に Mac をスキャンするか、ダウンロードしたインストーラ パッケージが疑わしい場合は手動でスキャンする必要があります。
