Trend Micro Security

OSX_NETWRD.A

2012年9月3日
 解析者: Christopher Daniel So   
 プラットフォーム:

Mac OS X

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: バックドア型
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要

感染経路 他のマルウェアからの作成, インターネットからのダウンロード

トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。

マルウェアは、LinuxおよびMacのオペレーティングシステム(OS)上で実行され、複数の人気インターネットアプリケーションによって保存されているパスワードを収集するように設計されています。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

  詳細

ファイルサイズ 78,664 bytes
タイプ Mach-O
メモリ常駐 はい
発見日 2012年8月24日
ペイロード URLまたはIPアドレスに接続

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

  • Get OS version, user name, host name, $PATH variable, home directory, malware process ID, current process path
  • Download a file and save it as /tmp/{random file name 1}, then execute the downloaded file
  • Exit
  • List files in a directory
  • Read a file
  • Write and close a file
  • Copy a file
  • Execute a file
  • Rename a file
  • Delete a file
  • Create a directory
  • Start remote shell
  • Kill a process
  • Get currently logged in users
  • Enumerate window titles of all processes
  • Download a file and save it as /tmp/{random file name 2}
  • Simulate keyboard press
  • Simulate mouse event
  • Get stored login credentials in Thunderbird, SeaMonkey, Mozilla Firefox

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

  • {BLOCKED}.{BLOCKED}.208.65:4141

マルウェアが実行するコマンドは、以下のとおりです。

  • OSのバージョン、ユーザ名、ホスト名、PATH環境変数、ホームディレクトリ、マルウェアのプロセス識別子、カレントプロセスのパスといった情報の取得
  • ファイルをダウンロードし、"/tmp/<ランダムなファイル名 1>" として保存、実行する
  • 自身の終了
  • ディレクトリ内のファイルのリスト化
  • ファイルの読み込み
  • ファイルを書き込み、閉じる
  • ファイルのコピー
  • ファイルの実行
  • ファイル名の改称
  • ファイルの削除
  • ディレクトリの作成
  • リモートシェルの開始
  • プロセスの終了
  • ログイン中のユーザに関する情報の取得
  • すべてのプロセスのウィンドウタイトルを列挙する
  • ファイルをダウンロードし、"/tmp/<ランダムなファイル名 2>" として保存する
  • キーボードを押す力をシュミレートする
  • マウスイベントをシュミレートする
  • Thunderbird、SeaMonkeyおよびMozilla Firefoxに保存されているログイン情報の取得

  対応方法

対応検索エンジン: 9.200
初回 VSAPI パターンバージョン 9.346.05
初回 VSAPI パターンリリース日 2012年8月24日
VSAPI OPR パターンバージョン 9.347.00
VSAPI OPR パターンリリース日 2012年8月25日

手順 1

このマルウェアのパス名およびファイル名を確認します。
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「OSX_NETWRD.A」で検出したパス名およびファイル名を確認し、メモ等をとってください。

手順 2

マルウェアのプロセスを終了します。

  1. このマルウェアのプロセスを終了するためには、「ターミナル」ウインドウを開き、以下のコマンドを入力してすべての実行中プロセスをリスト化してください。

    ps –A

  2. 手順 1で確認したこのマルウェアのパス名およびファイル名をこのプロセス内で確認します。そしてマルウェアのプロセス識別子を確認し、メモ等をとってください。
  3. 以下のコマンドを入力してください。

    kill <マルウェアのプロセス識別子>

  4. 「ターミナル」ウインドウを閉じてください。

註:

  • 「ターミナル」ウインドウを開く場合、[Finder]上で[アプリケーション]-[ユーティリティ]を選択し、[ターミナル]をダブルクリックしてください。
  • 「ターミナル」ウインドウを閉じる場合、「Command キー+Q」を同時に押し、「ターミナル」を閉じます。

手順 3

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「OSX_NETWRD.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください