別名:

Backdoor.OSX.iWorm.f (Kaspersky), OSX/iWorm (McAfee), Mac.OSX.iWorm.C (F-Secure), Mac.OSX.iWorm.C (BitDefender), OSX/Iservice.AG (ESET), OSX.Luaddit (Symantec)

 プラットフォーム:

Mac OSX

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    バックドア型

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

  詳細

ファイルサイズ 不定
タイプ Mach-O
メモリ常駐 はい
発見日 2014年10月6日
ペイロード URLまたはIPアドレスに接続

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、以下の方法でコンピュータに侵入します。

  • Disguised as a Legit Application Installer downloaded by user

インストール

マルウェアは、以下のファイルを作成します。

  • /Library/Application Support/JavaW/JavaW
  • /Library/LaunchDaemons/com.JavaW.plist
  • /Users/{user name}/.JavaW
  • /private/var/root/.JavaW

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

  • Execute scripts
  • Download and execute arbitrary file
  • Sleep
  • Get node information
  • Get Bot ID

情報漏えい

マルウェアは、以下の情報を収集します。

  • UID
  • Opened port

その他

マルウェアは、ユーザにダウンロードされる正規のアプリケーションインストーラを装ってコンピュータに侵入します。

マルウェアが実行する不正リモートユーザからのコマンドは、以下のとおりです。

  • スクリプトの実行
  • 任意のファイルのダウンロードおよび実行
  • スリープ
  • ノード情報の取得
  • ボットIDの取得

マルウェアが収集する情報は、以下のとおりです。

  • UID
  • 開かれたポート

マルウェアは、"Reddit"のサイトをクエリし、投稿からC&Cサーバのリストを取得します。

  • http://reddit.com/search?q={key}
    「{key}」は、現在の日付のハッシュされたMD5の値の最初の8バイトとなります。

以下のようにC&Cのリストが投稿されます。

  対応方法

対応検索エンジン: 9.700
初回 VSAPI パターンバージョン 11.194.04
初回 VSAPI パターンリリース日 2014年10月6日
VSAPI OPR パターンバージョン 11.195.00
VSAPI OPR パターンリリース日 2014年10月7日

註:

トレンドマイクロの製品でコンピュータをスキャンし、マルウェアが検出されたフォルダをメモします。

上述の手順でメモしたフォルダを用い、マルウェアのプロセスを特定および終了します。

  1. [アプリケーション]>[ユーティリティ]>[ターミナル]をクリックするか、"Spotlight"で"Terminal"と入力することにより、「ターミナル」ウインドウを開きます。
  2. 「ターミナル」ウインドウに以下を入力してください。
    ps –A
  3. 「ターミナル」ウインドウ内で検出されたファイルを検索し、それらのプロセスID(PID)をメモしてください。検出されるファイルの実行が確認されない場合、次の手順に進んでください。
  4. 「ターミナル」ウインドウで、各PIDに対し、以下のコマンドを入力してください。
    kill {PID}
  5. マルウェアのファイル/コンポーネントを削除します。
  6. 「ターミナル」ウインドウで、以下のコマンドを入力してラインごとにEnterを押してください。
    sudo rm –R
    "/Library/Application Support/JavaW/JavaW"
    sudo rm –R
    "/Library/LaunchDaemons/com.JavaW.plist"
    sudo rm –R
    "/Users/{user name}/.JavaW"
    sudo -s
    rm –R
    "/private/var/root/.JavaW"
  7. このマルウェアのファイル/コンポーネントが確認されない場合は、次の手順に進んでください。

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「OSX_IWORM.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください