Lamiyi

Integoは、Macを標的とするマルウェア「HellRTS」の新たな亜種を発見しました。このマルウェアは、Mac OS X搭載コンピュータにインストールされると、バックドアを開き、リモートユーザーが感染したMacを制御し、操作を実行できるようになります。IntegoはこのバックドアをOSX/HellRTS.Dと識別しており、これは2004年に初めて発見された初期のMac OS Xマルウェアの亜種です。

マルウェア: OSX/HellRTS.D
発見日: 2010年4月14日
リスク: 低

RealBasicで構築され、PowerPCベースとIntelベースの両方のMacで実行可能なユニバーサルバイナリであるHellRTSは、Macにインストールされると、様々な操作を実行できます。独自のサーバーを立ち上げ、サーバーのポートとパスワードを設定します。異なるアプリケーション名を使用して自分自身を複製し、新しいバージョンをユーザーのログイン項目に追加することで、ログイン時に起動するようにします。（これらの異なる名前は、ログイン項目だけでなくアクティビティモニタでも検出を困難にする可能性があります。）独自のメールサーバーを使用してメールを送信したり、リモートサーバーに接続したり、感染したMacに直接アクセスしたりすることも可能です。また、リモート画面共有アクセスの提供、Macのシャットダウンまたは再起動、感染したMacのクリップボードへのアクセスなど、様々な操作を実行できます。

このバックドアはMacにインストールする必要があります。これは、トロイの木馬を介して実行されるか、インターネットにアクセスするプログラム（ウェブブラウザなど）の脆弱性を悪用することによって実行されます。Integoは、このマルウェアがMacに感染した実例を確認していませんが、このマルウェアが複数のフォーラムで配布されているという事実は、多数の悪意のあるユーザーがアクセスし、Macへの攻撃に利用しようとする可能性があることを示唆しています。

保護手段:
Intego VirusBarrier X6 は、2010 年 4 月 15 日以降の脅威フィルターを使用して、このマルウェアを OSX/HellRTS.D として検出し、駆除します。

続きを読む