MacマルウェアはWindowsマルウェアほど蔓延していませんが、時折出現します。今年初めにはMac Defenderが登場しました。そして今、セキュリティ調査会社F-Secureが、新たなトロイの木馬を発見したと発表しました。
Trojan-Dropper:OSX/Revir.A がダウンロードされると、画面に複数ページの中国語のPDFファイル(政治的な意見を記載していると思われる)が表示されます。しかし、これは少々誤解を招く表現です。このPDFファイルを開くと、トロイの木馬は Backdoor:OSX/Imuler.A をインストールします。名前の通り、このコンポーネントはリモートサーバーへのバックドア接続を開きます。
現時点では、このトロイの木馬の機能はこれだけです。接続先のサーバーはApacheの素のインストールで、Macに何もできません。さらに、この亜種はユーザーからの直接の報告ではなく、スキャンサービスVirusTotalを通じて発見されたため、F-Secureの研究者たちはこのトロイの木馬がどのように拡散しているのかさえ把握していません。ただし、ブログ記事では、メールの添付ファイルが最も可能性の高い感染経路であると推測しています。
他のMacマルウェアと同様に、真の懸念は、これが概念実証、つまり正規ファイルを装ったマルウェアが何ができるかを示すデモンストレーションに過ぎないという点です。確かに懸念すべき事態ではありますが、PDFを悪用する手口は目新しいものではありません。Windows PCは長年にわたり、「.pdf.exe」拡張子のトロイの木馬に悩まされてきました。ファイル拡張子が隠されている場合、偽のPDFアイコンが、知らないユーザーを誘導して開かせるべきではないものを開かせてしまう可能性があります。Macセキュリティ専門家のリッチ・モーグル氏は、「ユーザーを騙して何かをインストールさせるのは、オペレーティングシステムのセキュリティを破るよりもはるかに簡単です」と述べています。
Trojan-Dropper:OSX/Revir.A が直ちに危険をもたらすわけではないとしても、このマルウェア、あるいはそれに類するものが真の脅威へと変貌を遂げた場合に備えて、常に警戒を怠らず、賢明な予防策を講じる必要があることを改めて認識させてくれます。私たちは以前、知らない人からのメールに含まれるリンクをクリックしたり添付ファイルをダウンロードしたりしないこと、そしてSafariの「ダウンロード後に安全なファイルを開く」オプション(Safari -> 環境設定 -> 一般)のチェックを外すことについて記事を書きました。常識的な行動を心がけていれば、ほとんどの悪質な攻撃から身を守ることができます。また、OS Xのマルウェア定義を常に最新の状態に保つことも重要です。
万が一、このトロイの木馬に感染してしまった場合、F-Secureがバックドアの削除手順を公開しています。削除するには、アクティビティモニタを開き、checkvir「プロセスを終了」を選択してクリックし、以下のファイルを削除します。
/users/user/Library/LaunchAgents/checkvir /users/user/Library/LaunchAgents/checkvir.plist
[Ars Technica経由]
