Pages

2013年9月22日日曜日

最新OS Xマルウェア情報:チベットマルウェアの新たな亜種を発見

チベット運動家を狙うマルウェアの作者は、最近おとなしくしていましたが、昨 晩、Virus Totalウェブサイトで新たな亜種が見つかりました。なお、Virus Totalは、セキュリティ研究家がマルウェアのサンプルを共有するためのウェブ サイトです。これより前に亜種が見つかったのは、もう1年以上前になります。 ちなみに、以前の亜種は、Intego VirusBarrierの既存の定義ファイルでは、OSX/Tibet.Cとして検出されます。

今回は、ウェブサイト上のJavaアプレット経由で攻撃が行われます。攻撃に合う と、バックドアを開くためのJavaアーカイブをダウンロードされ、Javaの脆弱性 を悪用してユーザに知られることなく起動します。こうしてインストールされる と、感染したコンピュータにバックドアを開き、攻撃者がコンピュータ上のファ イルを使用できると共に、コマンドを実行できるようになります。マルウェア は、最近パッチされたJavaの脆弱性CVE-2013-2465およびCVE-2013-2471を利用します。まだJavaをアップデートし ていないなら、今すぐにアップデートを行ってください。

ダウンロードされたアーカイブには、次が含まれまれています:

TibetD

この新しいチベットマルウェアの亜種は、インストールされると次のファイルを 作成します:

  • /ライブラリ/Audio/Plug-Ins/Components/AudioService
  • /ライブラリ/LaunchAgents/com.apple.AudioService.plist

LaunchAgentは、再起動後もマルウェアを起動させます。バックドアそのもの は、「AudioService」としてコピーされたファイルです。中国の指令管制サーバ (mail.tbnewspaper.com)に接続してコマンドを待ちます。

Intego VirusBarrierの最新定義ファイルは、このマルウェアをOSX/Tibet.Dとして 検出してユーザを守ります。現時点では、感染の報告はありませんから危険度は 低いと考えられます。

Posted onSeptember 10th, 2013 by

0 件のコメント:

コメントを投稿

注: コメントを投稿できるのは、このブログのメンバーだけです。