先日から話題になっている「OS X」をターゲットにしたマルウェア「Mac.BackDoor.iWorm」。ロシアのウィルス対策ベンダーである Doctor Web(Dr.WeB)が大規模感染を報告しています。感染した Mac の総数は 18,000台以上に上ると見られ、ボットネットを形成しているとのことです。なお、Apple は、2014年10月4日にマルウェア定義データベース「XProtect.plist」の更新を行っています。
今回発見された「Mac.BackDoor.iWorm」は、2014年9月29日に「Dr.WeB」が発表したマルウェアです。複雑かつ多目的なバックドア型のマルウェアとなっており、C++ と Lua の両言語で構成されているとのこと。さらに、暗号化技術を利用しているといった特徴をもっているとのことです。
このマルウェアは、「Library/Application Support/JavaW」ディレクトリ内に格納され、p-list ファイルを生成、「com.JavaW」というアプリケーションに見せかけるとのことです。マルウェアは自動的に生成し、悪意のあるハッカーから感染した Mac 上で様々な命令を実行できるようになるとのこと。
なお、2014年9月29日の時点で 18,519件の IP アドレスが感染していることが判明しています。ただし、感染ルートが確定されているわけではない模様で、「Dr.WeB」では bot が reddit の検索機能を利用しているとのことです。
ちなみに、「XProtect.plist」は、「Mac OS X 10.6 Snow Leopard」から導入されたマルウェア対策システム。Safari や Mail などのアプリケーションを通じてダウンロードされたファイルが常に安全かどうかのチェックも実行しており、万が一、ファイルに既知のマルウェアが含まれていた場合は、ゴミ箱に入れるように警告ダイアログが表示されるようになります。また、「OS X」を狙うマルウェアは Windows と比較すると頻繁に発生しないため更新が不定期ではあるものの、ユーザーの Mac が定義ファイルをバックグラウンドで毎日更新をチェックする仕組みになっています。なお、今回は「iWorm」の2種類の亜種に対応しています。
※ ただし、「iWorm」には4種類の亜種が存在すると考えられています。
なお、ご自身で「iWorm」に感染しているかを手動で確認するには「Finder>移動>フォルダへ移動」メニューに「/Library/Application Support/JavaW」を入力し、このフォルダが存在していなければ感染していないとのこと。また、「Finder>移動>ライブラリ(Option を押しながら)>Application Support>JavaW」から階層を遡って確認すると言ったことも可能です。
※ ただし、Library は「OS X」の起動等を含めてシステムの根幹を担っているフォルダでもあります。特に、「OS X 10.7 Lion」以降から隠しフォルダになっているとおり、無闇にユーザーがいじると起動しなくなるなどの危険性もあるので自己責任で行ってください。
近年、「OS X」を対象としたマルウェアが増加していく傾向となっています。これを機会にセキュリティソフトの導入をオススメします。古参ユーザーの間では、「OS X」がウィルスなどに強いと信じられていました。しかし、近年では Apple 自身もセキュリティソフトの導入を進めています。
関連リンク
- Dr.Web – インターネット上の脅威に対する完全な保護をご提供致します:株式会社 Doctor Web Pacific:http://www.drweb.co.jp
」。ロシアのウィルス対策ベンダーである Doctor Web(Dr.WeB)が大規模感染を報告しています。感染した Mac の総数は 18,000台以上に上ると見られ、ボットネットを形成しているとのことです。なお、Apple は、2014年10月4日にマルウェア定義データベース「XProtect.plist」の更新を行っています。
今回発見された「Mac.BackDoor.iWorm」は、2014年9月29日に「Dr.WeB」が発表したマルウェアです。複雑かつ多目的なバックドア型のマルウェアとなっており、C++ と Lua の両言語で構成されているとのこと。さらに、暗号化技術を利用しているといった特徴をもっているとのことです。
このマルウェアは、「Library/Application Support/JavaW」ディレクトリ内に格納され、p-list ファイルを生成、「com.JavaW」というアプリケーションに見せかけるとのことです。マルウェアは自動的に生成し、悪意のあるハッカーから感染した Mac 上で様々な命令を実行できるようになるとのこと。
なお、2014年9月29日の時点で 18,519件の IP アドレスが感染していることが判明しています。ただし、感染ルートが確定されているわけではない模様で、「Dr.WeB」では bot が reddit の検索機能を利用しているとのことです。
ちなみに、「XProtect.plist」は、「Mac OS X 10.6 Snow Leopard」から導入されたマルウェア対策システム。Safari や Mail などのアプリケーションを通じてダウンロードされたファイルが常に安全かどうかのチェックも実行しており、万が一、ファイルに既知のマルウェアが含まれていた場合は、ゴミ箱に入れるように警告ダイアログが表示されるようになります。また、「OS X」を狙うマルウェアは Windows と比較すると頻繁に発生しないため更新が不定期ではあるものの、ユーザーの Mac が定義ファイルをバックグラウンドで毎日更新をチェックする仕組みになっています。なお、今回は「iWorm」の2種類の亜種に対応しています。
※ ただし、「iWorm」には4種類の亜種が存在すると考えられています。
なお、ご自身で「iWorm」に感染しているかを手動で確認するには「Finder>移動>フォルダへ移動」メニューに「/Library/Application Support/JavaW」を入力し、このフォルダが存在していなければ感染していないとのこと。また、「Finder>移動>ライブラリ(Option を押しながら)>Application Support>JavaW」から階層を遡って確認すると言ったことも可能です。
※ ただし、Library は「OS X」の起動等を含めてシステムの根幹を担っているフォルダでもあります。特に、「OS X 10.7 Lion」以降から隠しフォルダになっているとおり、無闇にユーザーがいじると起動しなくなるなどの危険性もあるので自己責任で行ってください。
近年、「OS X」を対象としたマルウェアが増加していく傾向となっています。これを機会にセキュリティソフトの導入をオススメします。古参ユーザーの間では、「OS X」がウィルスなどに強いと信じられていました。しかし、近年では Apple 自身もセキュリティソフトの導入を進めています。
関連リンク
- Dr.Web – インターネット上の脅威に対する完全な保護をご提供致します:株式会社 Doctor Web Pacific:http://www.drweb.co.jp