Your browser is obsolete!

The page may not load correctly.

無料トライアル版
Dr.Web for Android

Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.com:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート

お問い合わせ履歴

  • すべて:
  • 対応中:
  • 最新: -

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

発見された新たなMac OS Xボットネット

2014年10月6日

株式会社Doctor Web Pacific


2014年9月、Doctor WebではMac OS Xを狙った複数の新たな脅威について解析を行いました。その結果、 Mac.BackDoor.iWorm としてウイルスデータベースに追加された、それらの脅威のうちの1つは複雑な多機能バックドアであることが明らかになりました。この悪意のあるソフトウェアは感染させたMac上で様々なコマンドを実行することができます。統計分析からは、感染したMacのIPアドレスは現時点で1万7千を超えることが示されています。

このマルウェアはC++およびLUAによって書かれ、そのルーチンには多くの暗号化が使用されています。インストールされると /Library/Application Support/JavaW 内に展開され、バックドアが自動で起動されるようドロッパーによってplistファイルが生成されます。

Mac.BackDoor.iWormは初回起動時に、その設定データを別のファイルに保存し、連携しなくてもよいアプリケーションを特定するために/Libraryディレクトリ内のコンテンツを読み込もうとします。"Unwanted"ディレクトリが見つからなかった場合、システムクエリを使用してMac OS Xを実行しているアカウントのホームディレクトリを見つけ、ディレクトリ内で自身の設定ファイルの存在を確認し、その動作に必要な全てのデータをファイル内に書き込みます。次に、Mac.BackDoor.iWormは感染したコンピューター上でポートを開き、接続の受信を待ちます。また、コントロールサーバーのリストを取得するためのリクエストをリモートサイトへ送信した後、リモートサーバーに接続してコマンドを待ちます。注目すべき点として、このマルウェアはコントロールサーバーのアドレスを取得するためにreddit.comの検索サービスを利用し、検索クエリとして現在の日付のMD5ハッシュの頭から8バイト分の16進数の値を使用しています。reddit.comは、"minecraftserverlists"トピック内に"vtnhiaovyd"というアカウント名で犯罪者によってコメントとして公開されているボットネットのC&Cサーバーおよびポートのリストを含んだwebページを検索結果として返します。

screen

トロイの木馬はリスト上にある最初の29アドレスからランダムに選択したアドレスに対してクエリを送信します。一方、リスト取得のリクエストは5分間隔でreddit.comに送信されます。

特別なアルゴリズムによってリスト上から選択されたサーバーに対して接続を試みる間、トロイの木馬はサーバーアドレスが除外リストに含まれているかどうかを確認し、リモートホストの認証に特別なルーチンを使用するためにサーバーとデータのやり取りを行います。これに成功すると、感染したMac上で開かれたポートに関する情報や、そのユニークなIDに関する情報をサーバーに送信し、コマンドを待ちます。

Mac.BackDoor.iWormはバイナリデータおよびLUAスクリプトに依って、2つの種類の異なるコマンドを実行することができます。LUAスクリプト向けの基本的なバックドアコマンドは以下のとおりです。

  • OSの種類を取得
  • ボットのバージョンを取得
  • ボットのUIDを取得
  • 設定ファイルの値を取得
  • 設定ファイル内にパラメータ値を設定
  • 設定ファイルから全てのパラメータ値を削除
  • ボットのアップタイムを取得
  • GETクエリを送信
  • ファイルをダウンロード
  • 受信接続のためにソケットを開き、受け取ったコマンドを実行
  • システムインストラクションを実行
  • スリープ
  • IPのノードを妨害
  • 妨害するノードのリストをクリア
  • ノードのリストを取得
  • ノードの種類を取得
  • ノードのポートを取得
  • 埋め込まれたLUAスクリプトを実行

Doctor Webの統計によるとMac.BackDoor.iWormを使用して構成されるボットネットには2014年9月26日現在、1万7,658のIPアドレスが含まれています。最も感染数の多かった国は米国で4,610台(全体の26.1%)、次いでカナダ1,235台(7%)、英国1,227台(6.9%)となっています。以下の図はMac.BackDoor.iWormボットネットの国別分布を表しています。

screen

Dr.WebウイルスデータベースにはMac.BackDoor.iWormのシグネチャが既に追加されています。そのため、Dr.Web Anti-virus for Mac OS Xに保護されるMacに対して、この脅威が危害を与えることはありません。

この脅威の詳細情報

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2017

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific〒210-0005神奈川県川崎市川崎区東田町1-2いちご川崎ビル 2F