2011年06月24日掲載

株式会社Doctor Web Pacific

Doctor Webは、Mac OS Xに対する新たな脅威が発見されたことをユーザーに報告します。BackDoor.Olyxは、このOSを狙う2番目によく知られた脅威となりました。コンピューターがこのマルウェアに感染すると、攻撃者によってバックグラウンドで操作されてしまいます。バックドアは様々なファイルを作成、転送、リネーム、削除するようなコマンド、及びその他の指示をリモートサーバーから受け取ります。

Mac OS Xを狙う悪意のあるプログラムは、Windowsに対する脅威に比べるとごく僅かで、最近までBackDoor.DarkHoleが唯一のバックドアプログラムでした。このマルウェアには、Mac OS XとWindowsの両方に対するバージョンがあります。起動されると、ハッカーが感染したコンピューターのブラウザからWebページを開き、リモートでコンピューターを再起動したり、ファイルを操作したり出来るようになります。現在ではBackDoor.DarkHoleとBackDoor.OlyxのどちらもDr.Webウイルスデータベースに含まれています。

このプログラムは、インテル互換アーキテクチャを搭載したMac OS X向けのアプリケーションとしてユーザーのコンピューターに侵入します。BackDoor.Olyxはディスク上に/Library/Application Support/Google/ディレクトリを作成し、そこにstartpという名前のファイルを保存します。次にBackDoor.Olyxは、/Library/LaunchAgents/www.google.com.tstart.plistファイルをホームディレクトリに置き、システムの再起動後に悪意のあるオブジェクトを起動させます。

その後、プログラム自身が一時フォルダgoogle.tmpに移動し、exeファイルを元の場所から削除します。その名の示すとおり、BackDoor.Olyxは感染したシステム内でバックドアとして動作し、/bin/bash等のシェル内の様々なコマンドを実行します。

Dr.Webウイルスデータベースには既にこのマルウェアのシグネチャが加えられているため、Dr.Web for Mac OS X（国内未発売）のユーザーはコンピューターのセキュリティについて心配する必要はありません。BackDoor.Olyxからシステムを保護するために、自動アップデートを有効にし、ハードドライブを定期的にスキャンすることを推奨します。