またMac(OS X)をターゲットとしたトロイの木馬が発見されたそうです。詳細は以下から。
今回新たに発見されたトロイの木馬「Ventir」はKaspersky Lab.が運営するブログ「Securelist」に掲載されており、バックドア、キーロガーなどの機能が発見されたそうです。
Securelist@Securelist
The Ventir Trojan: assemble your #MacOS spy - http://t.co/MvzbHNtBxG #Apple #Malware
2014/10/17 04:33:58
Securelistに続きIntegoもこのVentirの存在を確認したそうで、感染経路はわからないもののおそらくiWormと同様にP2PやBitTorrentなどで海賊版のソフトに混入されていたのではないかと推測しており、中にはGitHubで公開されているLogKextというキーロガーも確認されたそうです。
We currently do not know how the malware is distributed. Ventir is a Trojan horse, so it’s likely being picked up when downloading pirated software from peer-to-peer websites, such as BitTorrent.
(略)
The keystroke logger makes use of an open source software package freely available from GitHub, called LogKext. Given the recent scares about hacked accounts, the thought of software that watches what you type and sends it to the bad guys is particularly unnerving.
[Ventir Trojan Intercepts Keystrokes from Mac OS X - The Mac Security Blog]
感染チェック方法
Ventirに感染するとroot権限を与えてしまった場合には"/Library/.local"と"/Library/LaunchAgents"に、与えなかった場合にも"~/Library/.local"と"~/Library/LaunchAgents"に以下のファイルが生成されるそうです。
1./Library/.local/updated – re-launches files update and EventMonitor in the event of unexpected termination.
2./Library/.local/reweb – used to re-launch the file updated.
3./Library/.local/update – the backdoor module.
4./Library/.local/libweb.db – the malicious program's database file. Initially contains the Trojan's global settings, such as the C&C address.
5./Library/LaunchAgents (or LaunchDaemons)/com.updated.launchagent.plist – the properties file used to set the file Library/.local/updated to autorun using the launchd daemon.
6. /Library/.local/kext.tar – the driver that intercepts user keystrokes. This is installed at /System/Library/Extensions/updated.kext. There is a good chance the user will see a popup for this when it’s installed.
7./Library/.local/EventMonitor – This is the agent that logs the current active window name and the keystrokes to the following file: Library/.local/.logfile
これらのファイルが存在した場合Ventirに感染しているので、チェック方法としては、まず以下のファイルがあるかどうかをFinderの[移動] > [フォルダへ移動…]などで確認して下さい。
/Library/.local/ – /Library/.local/
".local"フォルダ(ディレクトリ)は不可視フォルダになっているので、Finderを移動して見つけたい場合はdefaultsコマンドを使用して不可視フォルダを表示する必要があります。
defaults write com.apple.finder AppleShowAllFiles TRUE killall Finder もとに戻す場合は defaults write com.apple.finder AppleShowAllFiles FALSE killall Finder
以上のファイルが見つかった場合、すでにキーロガーが動いているならば"/Library/.local/.logfile(または ~/Library/.local/.logfile)"にログファイルが存在し、打ち込んだアカウントやパスワードなど全てが残っているそうです。
Ventirは既に10月17日時点でVirustotalに登録されているものの、まだ対応していないウィルス対策ソフトも多いようです。
関連リンク:
・The Ventir Trojan: assemble your MacOS spy- Securelist
・Ventir Trojan Intercepts Keystrokes from Mac OS X - The Mac Security Blog
・New “Ventir” malware - The Safe Mac
コメント一覧
>>1.-
Apple7743
-
2014年10月25日 16:26 ID:6fVfQ.Iy0 このコメントに返信
-
なんもなかったよ(´・ω・`)
>>2.-
Apple7743
-
2014年10月25日 16:48 ID:uEtrvW8X0 このコメントに返信
-
また割れファイルに含まれてるのか…
アンチウィルスソフトも未対応だからほとんどの人がスルーだろうな、自業自得だけど。
>>3.-
Apple7743
-
2014年10月25日 17:08 ID:ZELmKzir0 このコメントに返信
-
正直割れ厨がどうなろうとどうでもいい
一般人にとっての脅威は、Windowsみたいにメールの添付開いてハイ感染みたいなやつなわけで、それをちゃんと報道してくれればいい
Windows系ウイルスの報道は、割れ関係のやつまでしてないだろと(DVD割った公職が情報漏洩みたいな報道はあるけど)
最近『Macもヤバい』と言いた気なメディアがチラつくが、金の匂いしかしねーんだよなあ
『シェアが低かったからこれまで少なかっただけ』とドヤ顔で言うのも湧くし、ユーザからすれば目障りでしかない
>>4.-
Apple7743
-
2014年10月25日 17:35 ID:UOQpb0n50 このコメントに返信
-
標準機能(Gatekeeper)で防げるか知りたいな
コメントを書き込む