Lamiyi

Intego は、Adobe Photoshop CS4 のダウンロードで iServices トロイの木馬の新しい亜種を発見しました。

この新しいトロイの木馬、OSX.Trojan.iServices.Bは、以前のバージョンと同様に、BitTorrentトラッカーや海賊版ソフトウェアへのリンクを含むその他のサイトを通じて配布される海賊版ソフトウェアに含まれています。OSX.Trojan.iServices.Bトロイの木馬は、Adobe Photoshop CS4 for Macにバンドルされているのが発見されました。Photoshopインストーラー自体はクリーンですが、トロイの木馬はプログラムをシリアル化するクラックアプリケーションに含まれています。

-----
このバージョンのPhotoshopをダウンロードした後、ユーザーはクラックアプリケーションを実行して使用できるようにします。クラックアプリケーションはデータから実行ファイルを抽出し、/var/tmp/にバックドアをインストールします。このディレクトリはコンピュータを再起動しても削除されません。（ユーザーがクラックアプリケーションを再度実行すると、トロイの木馬は異なる名前の新しい実行ファイルを作成します。これらのランダムな名前により、マルウェアの安全な削除が困難になります。）

クラックアプリケーションは管理者パスワードを要求し、ルート権限でバックドアを起動します。これにより、実行ファイルが/usr/bin/DivXにコピーされ、/System/Library/StartupItems/DivXにスタートアップ項目が作成されます。プログラムはルート権限で起動されたかどうかを確認し、ルートハッシュパスワードを/var/root/.DivXファイルに保存します。ランダムなTCPポートをリッスンし、GET / HTTP/1.0などのリクエストに209バイトのパケットを送信して応答し、2つのIPアドレスに繰り返し接続します。

次に、クラック アプリケーションは、リソース フォルダー内の .data フォルダーに隠されているディスク イメージを開き、Photoshop プログラムをクラックして使用できるようにします。
-----

2009 年 1 月 25 日以降のウイルス定義が含まれる Intego VirusBarrier X4 および X5 は、このトロイの木馬から保護します。

続きを読む