2011年12月9日掲載

株式会社Doctor Web Pacific

Mac OS Xを標的とするトロイの木馬は非常に少なく、特にユーザーパスワードを盗み、Bitcoinの電子通貨をマイニング（採掘）するものはごくまれです。Doctor Webは、Mac OS Xユーザーの個人金融情報を含む様々なデータを盗み出すことを目的とした、OSX/DevilRobber としても知られるTrojan.Merin.3について警告します。

Doctor Webのスペシャリスト達は、トレントトラッカーthepiratebay.org内でTrojan.Merin.3を拡散させている、感染したファイルを新たに発見しました。この悪意のあるプログラムはWritersCafe、Twitterrific、EvoCamというアプリケーションとして配信されています。

ネット上からの感染したアプリケーションのダウンロードおよび起動が完了すると、トロイの木馬ダウンローダーをアクティブ化するTrojan.Merin.3の特別なスクリプトが実行されます。このローダーはユーザーのホームディレクトリライブラリの名前、またはeCamd twitterd配下のサブフォルダに保存され、侵入者のFTPサーバーからアーカイブbin.bopをダウンロードします。

アーカイブには、それ自体がトロイの木馬でありDiabloMinerと呼ばれる、Mac OS X用のビットコインクライアントモジュールが含まれています。仮想通貨Bitcoinは2009年に中本哲史氏によって開発され、その流通システムは中央金融当局を持たず、情報の交換にはピアツーピアが用いられます。Bitcoin創始者によるとこのシステムの原理は「金」の発行原理を改変したもので、鉱物の採掘と同様に電子「貨幣」の発行にもある程度の作業が求められます。この場合、ユーザーは自身のコンピューター上に特別なソフトウェアをダウンロードする必要があります。このソフトウェアが複雑な計算を実行し、それによって所有者に一定の報酬が支払われます。その後、参加者は稼いだ電子「貨幣」を交換したり、様々な値段で購入したりすることが可能になります。このプロセスは「マイニング（採掘）」と呼ばれます。上記のトロイの木馬のバージョンでは、以前のTrojan.Merinに比べて新しいBitcoinアドレスが用いられています。

Trojan.Merin.のメインモジュールは、感染したコンピューター上でユーザーパスワードや電子財布、さらにbashシェルのログ（Bash_history)を盗み、それらのデータを犯罪者のリモートサーバーへ送信することが出来ます。

Dr.Webのウイルスデータベースには、この脅威のシグネチャが既に追加されています。ユーザーの皆様には、トレントトラッカーからダウンロードされる第三者アプリケーションに十分注意することを推奨します。