我々は、製作中のMacマルウェアに出くわしたかもしれない。同マルウェアは「Trojan-Dropper:OSX/Revir.A」として検出されており、PDFファイルを装い、ユーザをだましてペイロードをひきおこす。

  同マルウェアは、ボディに埋め込まれたPDFファイルをドロップすることから開始し、疑わしいアクティビティが進行するのをユーザに気づかせぬよう、ファイルを開こうとする。



  ドキュメントの内容は、昨年後半に流布していた記事から取られたもので、政治的な問題に関連した中国語のテキストを含んでいるが、それは一部のユーザには攻撃的なものと思われるかもしれない。

  このマルウェアは、「.pdf.exe」拡張子とPDFアイコンを含むPDFファイルを開くという、Windowsマルウェアに実装される技術をコピーしようとしているかもしれない。我々が入手したサンプルには、まだ拡張子もアイコンも含まれていない。しかし、もう一つの可能性がある。Macでは、OSではすぐに見る事ができない独立したフォークにアイコンが格納されているため、話は多少異なる。サンプルを入手した際に、拡張子とアイコンは無くなっていた可能性がある。もしこれが本当なら、このマルウェアはWindowsよりひと目につかないものかもしれない。このサンプルは望む拡張子を何でも使うことができるからだ。

  同マルウェアは次に、バックグラウンドでバックドア「Backdoor:OSX/Imuler.A」をインストールし始める。これを執筆している時点では、マルウェアのC&Cは最低限のApacheインストレーションで、まだバックドアと通信することはできない。ドメインは2011年3月21日に登録されており、最後にアップデートされたのは2011年5月21日だ。

  このマルウェアサンプルは「VirusTotal」から受けとったため、拡散のために使用されているメソッドは良く分からない。もっとも可能性が高いのは、電子メールの添付ファイルで送信する方法だ。作者はこのサンプルが、複数のAVベンダにより検出されるかをチェックするために、事前にテストしたのかもしれない。


追記:サンプル用のMD5ハッシュ:

  •  Trojan-Dropper:OSX/Revir.A: fe4aefe0a416192a1a6916f8fc1ce484
  •  Trojan-Downloader:OSX/Revir.A: dfda0ddd62ac6089c6a35ed144ab528e
  •  Backdoor:OSX/Imuler.A: 22b1af87dc75a69804bcfe3f230d8c9d


Analysis by - Brod