Integoは木曜日、トロイの木馬「Flashback」の新たな亜種を発見したと発表した。同社は「多くのMacユーザーがこのマルウェアに感染している」と述べており、特に最新の亜種である「Flashback.G」が感染しているとのことだ。
Intego社は、このトロイの木馬がMacに感染するために用いる3つの独特な手法を説明しています。まず、Javaの脆弱性2つを順番に悪用しようとします。同社によると、これによりユーザーの介入なしに感染が可能になるとのこと。そして、この2つの手法が失敗すると、ソーシャルエンジニアリングに頼ります。ソーシャルエンジニアリングでは、アプレットが自己署名のデジタル証明書を提示し、「Apple Inc.によって署名されている」と偽って主張します。「続行」をクリックすると、マルウェアが自動的にインストールされます。
Flashbackトロイの木馬の被害に遭うには、まずソフトウェアを実行する必要があります。定義上、トロイの木馬は他の種類のソフトウェアに偽装し、例えばアイコンをダブルクリックして新しいダウンロードを開始させるなど、ユーザーを騙して感染させます。ただし、Snow Leopardをまだ使用していて、Javaのインストールが最新でない場合、ブラウザのセキュリティ設定によっては、悪意のあるコードが埋め込まれたWebページによって、ユーザーの操作なしにマルウェアがインストールされてしまう可能性があります。
Integoによると、Flashback.Gの最新の亜種は、Webブラウザやインターネットに接続するその他のアプリケーションにコードを挿入し、多くの場合クラッシュを引き起こす可能性があるとのことです。この亜種は、多くの人気サイト(銀行サイト、Google、PayPalなど)に入力されたユーザー名とパスワードを盗聴しようとします。おそらく、このソフトウェアの背後にいる犯罪者が、その情報を他の不正な方法で悪用するためでしょう。
インストールプロセスの一環として、マルウェアは/Users/Shared/フォルダ内に不可視ファイルを作成します。ファイル名は可変ですが、.so拡張子は です。マルウェアは他に/Users/Shared/.svcdmp、~/.MACOSX/environment.plist、などのファイルも作成します~/Library/Logs/vmLog。また、 にはJavaアプレットも配置します~/Library/Caches。
Intego 独自の VirusBarrier X6 ソフトウェアは、Flashback がインストールされている場合はそれを検出し、そもそもインストールされないようにできると聞いても、驚かないでしょう。
すでに感染している疑いがある場合は、ターミナル (/Applications/Utilities/ 内) を起動し、以下のコードを貼り付けて Return キーを押すことで確認できます。
ls /Users/Shared/.*.so
ターミナルに表示される応答に「そのようなファイルまたはディレクトリはありません」と表示されれば問題ありません。代わりに、.so拡張子を持つ1つ以上のファイルのリストが表示され、「そのようなファイルはありません」という表示がない場合は、マルウェアに感染している可能性があります。
感染していることがわかった場合は、上記のファイルを削除するか、Intego などのウイルス対策ソフトウェアをインストールすると、Flashback の痕跡がすべて削除されるはずです。
マルウェアがどのようにインストールされるかを明確にするため、太平洋標準時午前 8 時 32 分に更新しました。
