Lamiyi

Doctor Webは、Mac OS Xに対する新たな脅威「Mac.BackDoor.iWorm」を発見しました。この複雑な悪意のあるプログラムは既に18,500台以上のMacに感染しており、犯罪者が様々な命令を実行するために利用される可能性があります。

インストール中にマルウェアは/Library/Application Support/JavaWに抽出され、その後ドロッパーはp-listファイルを生成することでバックドアを自動的に起動します。設定は別のファイルに保存され、プログラムは/Libraryを読み込んで、どのアプリケーションと連携しないかを判断します。「不要な」ディレクトリが見つからない場合、ホームディレクトリを特定し、そのディレクトリ内に設定ファイルがあるかどうかを確認し、実行に必要なデータをファイルに書き込みます。

iWormは実行時にコンピュータ上のポートを開き、接続を待機します。特に、接続先の制御サーバーのリストを取得するためにredditを使用します。

Doctor Web では、これがどのように機能するかを次のように説明しています。

特筆すべき点として、ボットは制御サーバーのアドレスリストを取得するために、reddit.com の検索サービスを使用し、検索クエリとして現在の日付の MD5 ハッシュの最初の 8 バイトの 16 進数値を指定します。reddit.com で検索すると、犯罪者がアカウント vtnhiaovyd の minecraftserverlists の投稿へのコメントで公開したボットネット C&C サーバーとポートのリストを含む Web ページが返されます。ボットはリストの最初の 29 個のアドレスからランダムにサーバーを選択し、各サーバーにクエリを送信します。リストを取得するための検索リクエストは、5 分間隔で reddit.com に送信されます。特別なルーチンを使用してリストからアドレスが選択されたサーバーへの接続を確立する際に、バックドアはサーバーアドレスが例外リストに含まれているかどうかを確認し、サーバーとのデータ交換を行ってリモートホストを認証するための特別なルーチンを実行します。成功した場合、バックドアは感染したマシンの開いているポートとその一意の ID に関する情報をサーバーに送信し、指示を待ちます。

感染しているかどうかを確認するには、/Library/Application Support/JavaW ディレクトリに移動してください。このディレクトリが存在する場合は、感染している可能性があります。

これを行うには、新しいFinderウィンドウを開きます。Command + Shift + Gキーを同時に押します。テキストフィールドに「/Library/Application Support/JavaW」と入力し、「移動」をクリックします。コンピューターに問題がなければ、「このフォルダが見つかりません」というメッセージが表示されます。

Doctor Web によれば、このマルウェアのシグネチャはウイルス データベースに追加されているため、Mac OS X 用の Dr.Web Anti-virus を実行しているユーザーは保護されているとのことです。

詳細は下記リンクをご覧ください。最新情報については、 Twitter、Facebook、またはRSSでiClarifiedをフォローしてください。

続きを読む