我々は、製作中のMacマルウェアに出くわしたかもしれない。同マルウェアは「Trojan-Dropper:OSX/Revir.A」として検出されており、PDFファイルを装い、ユーザをだましてペイロードをひきおこす。
同マルウェアは、ボディに埋め込まれたPDFファイルをドロップすることから開始し、疑わしいアクティビティが進行するのをユーザに気づかせぬよう、ファイルを開こうとする。
ドキュメントの内容は、昨年後半に流布していた記事から取られたもので、政治的な問題に関連した中国語のテキストを含んでいるが、それは一部のユーザには攻撃的なものと思われるかもしれない。
このマルウェアは、「.pdf.exe」拡張子とPDFアイコンを含むPDFファイルを開くという、Windowsマルウェアに実装される技術をコピーしようとしているかもしれない。我々が入手したサンプルには、まだ拡張子もアイコンも含まれていない。しかし、もう一つの可能性がある。Macでは、OSではすぐに見る事ができない独立したフォークにアイコンが格納されているため、話は多少異なる。サンプルを入手した際に、拡張子とアイコンは無くなっていた可能性がある。もしこれが本当なら、このマルウェアはWindowsよりひと目につかないものかもしれない。このサンプルは望む拡張子を何でも使うことができるからだ。
同マルウェアは次に、バックグラウンドでバックドア「Backdoor:OSX/Imuler.A」をインストールし始める。これを執筆している時点では、マルウェアのC&Cは最低限のApacheインストレーションで、まだバックドアと通信することはできない。ドメインは2011年3月21日に登録されており、最後にアップデートされたのは2011年5月21日だ。
このマルウェアサンプルは「VirusTotal」から受けとったため、拡散のために使用されているメソッドは良く分からない。もっとも可能性が高いのは、電子メールの添付ファイルで送信する方法だ。作者はこのサンプルが、複数のAVベンダにより検出されるかをチェックするために、事前にテストしたのかもしれない。
追記:サンプル用のMD5ハッシュ:
• Trojan-Dropper:OSX/Revir.A: fe4aefe0a416192a1a6916f8fc1ce484
• Trojan-Downloader:OSX/Revir.A: dfda0ddd62ac6089c6a35ed144ab528e
• Backdoor:OSX/Imuler.A: 22b1af87dc75a69804bcfe3f230d8c9d
Analysis by - Brod
同マルウェアは、ボディに埋め込まれたPDFファイルをドロップすることから開始し、疑わしいアクティビティが進行するのをユーザに気づかせぬよう、ファイルを開こうとする。
ドキュメントの内容は、昨年後半に流布していた記事から取られたもので、政治的な問題に関連した中国語のテキストを含んでいるが、それは一部のユーザには攻撃的なものと思われるかもしれない。
このマルウェアは、「.pdf.exe」拡張子とPDFアイコンを含むPDFファイルを開くという、Windowsマルウェアに実装される技術をコピーしようとしているかもしれない。我々が入手したサンプルには、まだ拡張子もアイコンも含まれていない。しかし、もう一つの可能性がある。Macでは、OSではすぐに見る事ができない独立したフォークにアイコンが格納されているため、話は多少異なる。サンプルを入手した際に、拡張子とアイコンは無くなっていた可能性がある。もしこれが本当なら、このマルウェアはWindowsよりひと目につかないものかもしれない。このサンプルは望む拡張子を何でも使うことができるからだ。
同マルウェアは次に、バックグラウンドでバックドア「Backdoor:OSX/Imuler.A」をインストールし始める。これを執筆している時点では、マルウェアのC&Cは最低限のApacheインストレーションで、まだバックドアと通信することはできない。ドメインは2011年3月21日に登録されており、最後にアップデートされたのは2011年5月21日だ。
このマルウェアサンプルは「VirusTotal」から受けとったため、拡散のために使用されているメソッドは良く分からない。もっとも可能性が高いのは、電子メールの添付ファイルで送信する方法だ。作者はこのサンプルが、複数のAVベンダにより検出されるかをチェックするために、事前にテストしたのかもしれない。
追記:サンプル用のMD5ハッシュ:
• Trojan-Dropper:OSX/Revir.A: fe4aefe0a416192a1a6916f8fc1ce484
• Trojan-Downloader:OSX/Revir.A: dfda0ddd62ac6089c6a35ed144ab528e
• Backdoor:OSX/Imuler.A: 22b1af87dc75a69804bcfe3f230d8c9d
Analysis by - Brod