OSX_FLASHBCK.A
OSX/Flshplyr-A (Sophos); OSX.Flashback (Symantec); Trojan-Downloader:OSX/Flashback.C (F-Secure)
Mac OS X 10.5 and later
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
マルウェアは、「Adobe Flash Player」のインストーラを装います。マルウェアは、インストールを続行する前に、管理者用パスワードを要求します。
マルウェアは、リンクにアクセスし、追加のインストールファイルおよび環境設定ファイルをダウンロードします。ただし、情報公開日現在、このWebサイトにはアクセスできません。
マルウェアは、「Safari」の任意のインスタンスを再起動します。
マルウェアは、近年発売されたMac OS Xに搭載されているセキュリティ機能「Xprotect」を無効にします。マルウェアは、「XProtectUpdater」のデーモンをアンロードし、「XProtectUpdater」に関するファイルの内容を削除して、改変します。
マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
詳細
侵入方法
マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
マルウェアは、以下のリモートサイトからダウンロードされ、コンピュータに侵入します。
- http://{BLOCKED}pdatemanager.org/FlashPlayer-11-4-macos.zip
- http://{BLOCKED}pdatemanager.org/flashplugin/4ff
その他
マルウェアは、「Adobe Flash Player」のインストーラを装います。
マルウェアは、インストールを続行する前に、管理者用パスワードを要求します。
マルウェアは、コンピュータ上に以下のファイルが存在するかを確認します。
- /Library/Little Snitch/lsd
「Little Snitch」は、外向きのインターネット接続のためのMac OS X用ファイアウォールソフトウェアです。
上記のファイルが存在している場合、マルウェアは、インストールを中断し、自身を削除します。上記のファイルが存在していない場合、マルウェアは、自身のインストールを続行します。
マルウェアは、以下のリンクにアクセスし、追加のインストールファイルおよび環境設定ファイルをダウンロードします。
- http://<省略>.43.31//counter/<16進法値>
- http://<省略>.com/counter/<16進法値>
ただし、情報公開日現在、このWebサイトにはアクセスできません。
マルウェアは、「Safari」の任意のインスタンスを再起動します。
マルウェアは、近年発売されたMac OS Xに搭載されているセキュリティ機能「Xprotect」を無効にします。マルウェアは、「XProtectUpdater」のデーモンをアンロードし、以下の「XProtectUpdater」に関するファイルの内容を削除して、改変します。
- /System/Library/LaunchDaemons/com.apple.xprotectupdater.plist
- /usr/libexec/XProtectUpdater
対応方法
手順 1
変更された「XProtectUpdater」のファイルを修正します。「XProtectUpdater」を再インストールしてください。
手順 2
Mac OS Xを再起動します。
手順 3
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「OSX_FLASHBCK.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください