今回は、ウェブサイト上のJavaアプレット経由で攻撃が行われます。攻撃に合う と、バックドアを開くためのJavaアーカイブをダウンロードされ、Javaの脆弱性 を悪用してユーザに知られることなく起動します。こうしてインストールされる と、感染したコンピュータにバックドアを開き、攻撃者がコンピュータ上のファ イルを使用できると共に、コマンドを実行できるようになります。マルウェア は、最近パッチされたJavaの脆弱性CVE-2013-2465およびCVE-2013-2471を利用します。まだJavaをアップデートし ていないなら、今すぐにアップデートを行ってください。
ダウンロードされたアーカイブには、次が含まれまれています:
この新しいチベットマルウェアの亜種は、インストールされると次のファイルを 作成します:
- /ライブラリ/Audio/Plug-Ins/Components/AudioService
- /ライブラリ/LaunchAgents/com.apple.AudioService.plist
LaunchAgentは、再起動後もマルウェアを起動させます。バックドアそのもの は、「AudioService」としてコピーされたファイルです。中国の指令管制サーバ (mail.tbnewspaper.com)に接続してコマンドを待ちます。
Intego VirusBarrierの最新定義ファイルは、このマルウェアをOSX/Tibet.Dとして 検出してユーザを守ります。現時点では、感染の報告はありませんから危険度は 低いと考えられます。
Posted onSeptember 10th, 2013 by Lysa Myers
0 件のコメント:
コメントを投稿
注: コメントを投稿できるのは、このブログのメンバーだけです。