1. まとめトップ

60万台以上の「Mac」がトロイの木馬「Flashback」に感染か

あるロシアのアンチウイルス企業によると、50万台以上の「Macintosh(Mac)」が「Flashback」と呼ばれるトロイの木馬に感染しているという。Flashbackは、個人情報を盗むことを目的とするマルウェアパッケージだ。

更新日: 2013年08月28日

13 お気に入り 12711 view
お気に入り追加

この記事は私がまとめました

sessさん

Flashbackの国別の感染割合(提供:Dr. Web)

あるロシアのアンチウイルス企業によると、50万台以上の「Macintosh(Mac)」が「Flashback」と呼ばれるトロイの木馬に感染しているという。Flashbackは、個人情報を盗むことを目的とするマルウェアパッケージだ。

 Dr. Webというその企業は現地時間4月4日に行った独自の報告で、55万台のMacコンピュータが、拡大を続けるそのMacボットネットに感染していることを明かした。しかし、その日のうちに、Dr. WebのマルウェアアナリストであるSorokin Ivan氏は、Flashbackに感染したMacの台数が60万にまで増加し、そのうちの274台はカリフォルニア州クパチーノにあることをTwitterで発表した。

@mikko, at this moment botnet Flashback over 600k, include 274 bots from Cupertino and special for you Mikko - 285 from Finland

感染したMacの半分以上(57%)が米国にあり、20%はカナダにある、とDr. Webは述べている。

 Flashbackが最初に発見されたのは2011年9月のことで、「Adobe Flash Player」プラグインインストーラになりすましていた。しかし、ここ数カ月で同マルウェアは進化を遂げており、Javaの脆弱性を悪用してMacシステムを標的にするようになった。先週末に登場した新たな変種は、Appleが4月3日にパッチをリリースしたJavaの脆弱性を利用しているようだ。

検出時の画面

このトロイの木馬は、自身をFlash Playerのインストーラーに見せかけます。
これは分からない・・・

感染したらどうなるの?

オペレーティングシステムとシステム設定に関する情報
感染先のコンピューターに関する情報
上記の情報が漏洩するみたいですね・・・。

こんな悪さをします。

このトロイの木馬は、リモートのコンピューターもしくはインターネットからデータや命令を受け取ります。

1つのURLを保持しています。通信にはHTTPプロトコルが使用されます。

インターネットからファイルをダウンロードし、実行する場合があります。

次のファイルを作成します。

%home%/.MacOSX/environment.plist


次の環境変数を設定します。

DYLD_INSERT_LIBRARIES


これにより、特定のプロセスに自身のコードを挿入します。

次のアプリケーションが検出された場合は終了します。

Little Snitch


その後、自身をコンピューターから削除します。

感染してしまったときの対処方法

常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Time Machine等のソフトウェアを使用してシステムの復元により修復しなければならない可能性があります。

対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。

皆さんもお気をつけ下さい。。。

1