Trend Micro Security

OSX_MORCUT.A

2012年7月27日
 解析者: Christopher Daniel So   
 プラットフォーム:

Mac OS X

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: バックドア型
  • 破壊活動の有無: なし
  • 暗号化: なし
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード

トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。

マルウェアは、情報収集活動を展開するために、Mac製品が搭載する音声機能を悪用するという新たな方法を利用します。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、不正リモートユーザからリモートで受信する特定のコマンドを実行します。これにより、感染コンピュータおよび同コンピュータ上の情報は危険にさらされることとなります。

  詳細

ファイルサイズ 不定
タイプ Mach-O
メモリ常駐 はい
発見日 2012年7月25日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のフォルダを作成します。

  • /Library/ScriptingAdditions/appleHID (if running as root)
  • /Users/{user name}/Library/ScriptingAdditions/appleHID (if not running as root)

自動実行方法

マルウェアは、以下のファイルを作成します。

  • /Library/LaunchAgents/com.apple.mdworker.plist (if running as root)
  • /Users/{user name}/Library/LaunchAgents/com.apple.mdworker.plist (if not running as root)

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

  • Download a file
  • Execute a command using /bin/sh
  • Record audio
  • Scan for network connections
  • Search a file
  • Uninstall itself
  • Upload a file

その他

マルウェアは、以下のカーネル機能拡張を作成します。

  • /Library/ScriptingAdditions/appleHID/Contents/Resources/<ランダムなファイル名>.kext/Contents/MacOS/<ランダムなファイル名> - Root権限を持つユーザとして実行している場合
  • /Users/<ユーザ名>/Library/ScriptingAdditions/appleHID/Contents/Resources/<ランダムなファイル名>.kext/Contents/MacOS/<ランダムなファイル名> - Root権限を持つユーザとして実行していない場合

作成されたカーネル機能拡張もまた、このマルウェアとして検出されます。マルウェアは、このカーネル機能拡張を利用し、作成したフォルダや自身のプロセスを隠ぺいします。

マルウェアは、以下の OS Xプラットフォームで実行します。

  • 10.5 (Leopard)
  • 10.6 (Snow Leopard)
  • 10.7 (Lion)

マルウェアが実行するコマンドは、以下のとおりです。

  • ファイルのダウンロード
  • 「/bin/sh」を利用し、コマンドを実行する
  • 音声の録音
  • ネットワーク接続の検索
  • ファイルの検索
  • 自身のインストール
  • ファイルのアップロード

  対応方法

対応検索エンジン: 9.200
VSAPI OPR パターンバージョン 9.285.00
VSAPI OPR パターンリリース日 2012年7月26日

手順 1

マルウェアが作成したファイルを削除します。この自動実行ファイルを削除するためには、「ターミナル」ウインドウを開き、以下のコマンドを入力してください。

"rm /Library/LaunchAgents/com.apple.mdworker.plist"

"rm /Users/<ユーザ名>/Library/LaunchAgents/com.apple.mdworker.plis"

手順 2

コンピュータを再起動します。

手順 3

マルウェアが作成したフォルダを削除します。このフォルダを削除するためには、[Finder]内の以下のフォルダを確認してください。

  • /Library/ScriptingAdditions/appleHID
  • /Users/<ユーザ名>/Library/ScriptingAdditions/appleHID

そして、上記のフォルダを「ゴミ箱」へと移動し、「ゴミ箱」を空にします。

手順 4

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「OSX_MORCUT.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

註:

  • 「ターミナル」ウインドウを開く場合、[Finder]上で[アプリケーション]-[ユーティリティ]を選択し、[ターミナル]をダブルクリックしてください。
  • 「ターミナル」ウインドウを閉じる場合、「Command キー+Q」を同時に押し、「ターミナル」を閉じます。


ご利用はいかがでしたか? アンケートにご協力ください

関連マルウェア