Trend Micro Security

OSX_IMULER.C

2012年10月9日
 解析者: Christopher Daniel So   

 別名:

Backdoor:OSX/Imuler.A (FSecure)

 プラットフォーム:

Mac OS X

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: バックドア型
  • 破壊活動の有無: なし
  • 暗号化: なし
  • 感染報告の有無: はい

  概要

感染経路 他のマルウェアからの作成

マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。

マルウェアは、不正リモートユーザからリモートで受信する特定のコマンドを実行します。これにより、感染コンピュータおよび同コンピュータ上の情報は危険にさらされることとなります。


  詳細

ファイルサイズ 104,712 bytes
タイプ Mach-O
メモリ常駐 はい
発見日 2012年3月21日
ペイロード URLまたはIPアドレスに接続

侵入方法

マルウェアは、以下のマルウェアに作成され、コンピュータに侵入します。

  • OSX_IMULER.B

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • /Users/{user name}/Library/LaunchAgents/checkvir

自動実行方法

マルウェアは、以下のファイルを作成します。

  • /Users/{user name}/Library/LaunchAgents/checkvir.plist

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

  • Take a screen shot
  • Update the C&C server name
  • List the contents of a folder and save it as /tmp/launch-0rp.dat. Then upload the file /tmp/launch-0rp.dat.
  • Get the file size of a file
  • Download a file from a URL
  • Execute a command via the shell
  • Delete a file
  • Download a file and save it as /tmp/xntaskz.gz. Decompress the downloaded file to /tmp/xntaskz. Execute the following command:
    /tmp/CurlUpload -f /tmp/xntaskz

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

  • http://www.{BLOCKED}sbutters.com/cgi-mac/

ダウンロード活動

マルウェアは、以下のWebサイトにアクセスし、ファイルをダウンロードします。

  • http://www.{BLOCKED}sbutters.com/CurlUpload

マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。

  • /tmp/CurlUpload

その他

マルウェアが実行するコマンドは、以下のとおりです。

  • スクリーンショットの取得
  • コマンド&コントロール(C&C)サーバ名の更新
  • フォルダのコンテンツをリスト化し、ファイル "/tmp/launch-0rp.dat" として保存。そしてファイル "/tmp/launch-0rp.dat" をアップロード
  • ファイルのファイルサイズを取得
  • URLからのファイルのダウンロード
  • シェルを介したコマンドの実行
  • ファイルの削除
  • ファイルをダウンロードし、"/tmp/xntaskz.gz" として保存。そのファイルを "/tmp/xntaskz" へ解凍。そしてコマンド「/tmp/CurlUpload -f /tmp/xntaskz」を実行


  対応方法

対応検索エンジン: 9.200
初回 VSAPI パターンバージョン 8.866.05
初回 VSAPI パターンリリース日 2012年3月27日
VSAPI OPR パターンバージョン 8.867.00
VSAPI OPR パターンリリース日 2012年3月27日

「OSX_IMULER.C」 を作成またはダウンロードする不正なファイルを削除します。

手順 2

マルウェアが自動起動のために利用するファイルを削除します。このファイルを削除するためには、「ターミナル」ウインドウを開き、以下のコマンドを入力してください。

rm "/Users/{user name}/Library/LaunchAgents/checkvir.plist"

手順 3

マルウェアのプロセスを終了します。マルウェアのプロセスを終了するために、「ターミナル」ウインドウを開き、以下の作業を行なってください。

  1. 「ターミナル」ウインドウに以下のコマンドを入力してください。

    ps -A

  2. 「ターミナル」ウインドウ内に以下と同じような文字列を検索してください。そして<数値>を確認し、メモ等をとってください。この数値は、マルウェアのプロセスID(PID)です。

    <数値> ?? Ss <時間> /Users/<ユーザ名>/Library/LaunchAgents/checkvir

  3. 以下のコマンドをコマンドを入力してください。

    kill <確認したマルウェアのPID>

手順 4

マルウェアが作成したファイルを削除します。このファイルを削除するためには、「ターミナル」ウインドウを開き、以下のコマンドを入力してください。

rm /tmp/CurlUpload

rm /tmp/xntaskz

rm /tmp/xntaskz.gz

rm /tmp/launch-0rp.dat

手順 5

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「OSX_IMULER.C」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

註:

  • 「ターミナル」ウインドウを開くには、[Finder]にある[アプリケーション]-[ユーティリティ]-[ターミナル]をダブルクリックします。
  • 「ターミナル」ウインドウを閉じるには、Command キーとQキーを同時に押します。


ご利用はいかがでしたか? アンケートにご協力ください

関連マルウェア