我々が最後にMacのマルウェアについて書いてからずいぶんになるので、ここ数ヶ月に起きていることについて、読者の皆さんに最新情報を提供する方が良いだろうと考えた。昨年、我々は制作途上にあるMac版トロイの木馬とおぼしきものを詳述した。当時はまだ、バンドルの一部であるか、スタンドアロンのバイナリなのかを推測していた。現在では、新しい亜種が発見され、それは本格的なアプリケーションであり、アイコンも完備していることが明らかになっている。

  作者はこの亜種を「version 1.0」(リトルエンディアンで「FILEAGENTVer1.0」)と呼んでいる。

FILEAGENTVer1.0

  私が分析したサンプルは、Irina Shaykのサムネイル画像/アイコンを使用しているが、これはどうやらFHM(South Africa)誌の2012年3月号から取られたもののようだ。この悪意あるアプリケーションバンドルは、ファイルタイプをユーザーが見落とすことを期待して、同誌から取られた他の画像と共に、アーカイブファイル内で展開される。

FHM Feb Cover Girl Irina Shayk H-Res Pics

  インプリメンテーションの他に何ら新しい所はない。バックドアペイロードも同じだが、新たなC&Cサーバを使用している。同サーバは現在(執筆時)アクティブだ。この新しいC&Cサーバがまだ、ESETの人々が言及している、前回の亜種と同じIPアドレスを示していることに注意することが重要だ。我々はこのサーバをCERT-FIに報告した。うまくいけば、彼らが関係当局に通知できるだろう。

  我々は新たなこの亜種をTrojan-Dropper:OSX/Revir.C、MD5: 7DBA3A178662E7FF904D12F260F0FFF3として検出している。

最後に—あちら側にひそんでいる、もう一つのより深刻なOS Xマルウェア脅威がある。このFlashbackトロイの木馬は初め、Revirと同じ頃に現れたものだが、現在もイン・ザ・ワイルドだ。これはエクスプロイトを使用して、ユーザとのインタラクション無しで、システムを感染させる。悪用しているのは古いJava脆弱性(CVE-2011-3544およびCVE-2008-5353)だが、悪党連中がオペレーションをアップグレードし、パッチを当てていない脆弱性を狙い始めるなら、本当のOS X騒動を見る事になるかもしれない。

  今後の記事で、Flashback感染を特定する方法を詳述する予定だ。その間、感染を避ける最も容易な方法は、ブラウザでJavaをオフにしておくことだ。我々の調査によれば、Webを閲覧する際、ほとんどのユーザがJavaを必要としていない。何らかの理由で、たとえばオンライン・バンキングなどでJavaが必要ならば、必要な時だけオンにすることだ。そして終了したら、またオフにすること。

  Safariでは、環境設定のセキュリティタブで「Javaを有効にする」のチェックをはずせば良い。

Safari, Java settings

  あるいは、Snow Leopard(LionはデフォルトではJavaは搭載していない)から、アプリケーション、ユーティリティ、Java設定に行くことでJavaをオフにできる。一般タブですべてのチェックをはずそう。

Java Preferences

では
Brod