※ この内容は、Mac 専用セキュリティソフトの老舗である フランス Intego 社のブログから転載されたものです。
システムに感染するとスパイウェアとして動作する、OS X に影響する新しい脅威が VirusTotal で見つかりました。
テキストの方向を逆にすることで本当のファイ ル拡張子を隠すという古くさいトリックを採用して、アプリケーションではなく PDF ファイルに自らを偽装しています。
つい先日見つかった FileSteal.B 同様に OS X の Gatekeeper によるセキュリティを回避できるように
ファイルは Apple ID で署名されています。
このマルウェアが本当のファイル拡張子を隠すために採用したトリックは、使用されている言語に関係なく、情報が正しく伝えられるように設計された特殊な文字に依存しています。
それは、テキストを右から左へ向かって、あるいは左から右へ向かって表記するか指定する機能です。この機能は、プログラムによっては正常に処理されないため、不可思議な動作を引き起こすことがあります。
例えば、右から左への指定がダウンロードフォルダではうまくいっても、デスクトップフォルダではうまく動作しません。
また、この右から左への指定は、隔離警告ダイアログでの文章の方向を逆にしてしまいます。
このおかしな隔離警告にユーザが気付かずに許可を出してしまうと、次の動作を 行う Python スクリプトが実行されます:
- ウェブサイトから入手したニュースを記載した「偽」の PDF ファイルを開きます。
- 現在のユーザのホームフォルダ内に「.t」という名前の不可視フォルダを作ります。
- アプリケーションからこの新しいフォルダにファイルをコピーします。
- コピーされたファイルを1分毎に実行するジョブを現在のユーザの crontab に追加します。
通常、この種のドロッパーは必要に応じて自らを破棄しますが、今回は違います。実行後も、そのまま残っています。
Intego では、このマルウェアをさらに分析していますので、結果がもうすぐ出るでしょう。それまでは、定義ファイルが最新にアップデートされていれば、 Intego VirusBarrier が、この脅威を OSX/Janicab.A として検出してMacユーザを守ります。
現時点では、感染したユーザの報告もなく、また見た目ではっきりとおかしいことが分かるため、隔離機能を回避して実行される可能性はなさそうです。
リスクは低いと考えられます。ただし、今回見つかったものは同じマルウェアの亜種のようですから、今後も同種のマルウェアが見つかることが想像されます。
Posted on July 16th, 2013 by Lysa Myers
出典:Intego Security Blog
Twitter:@IntegoSecurity
Mountain Lion 対応!!
15年に渡りMac専用として進化し続けて来たのはIntego 社の Mac 用セキュリティソフト だけです。
Intego 製品についてもっとよく調べる
Intego製品のアップデート情報などを弊社のツイッターアカウントでも公開しています。
Twitter:@act2com
Twitter:@act2support
0 件のコメント:
コメントを投稿
注: コメントを投稿できるのは、このブログのメンバーだけです。