goods and life +

Flashback botnet のニセインストーラ

Flashback botnet(トロイの木馬)o(`ω´*)o

このあいだ cnet がニュースしていたこれ、これ見てると日本も0.1%、550台ほどやられました?

60万台以上の「Mac」がトロイの木馬「Flashback」に感染?

ソースの出所 Dr. Web の4月5日掲載の記事を見ると、cnet よりも結構詳しくていねいに書いてありました。

55万台もの強力なMacボットネットを発見
http://news.drweb.co.jp/?i=506&c=1&lng=ja&p=0

inali はまだ Mac OS X 10.6.8を使っていますが、そういえば 4月に入ってから Java for Mac OS X 10.6 Update 7、Java for Mac OS X 10.6 Update 8と2回も Java のアップデートが来てまいした。
(OS X Lion の場合は、Java for OS X Lion 2012-002、Java for OS X Lion 2012-003が来ています)

Java for Mac OS X 10.6 アップデート 7 で Java SE 6 を 1.6.0_31 にアップデートすることでセキュリティを向上させ、Java for Mac OS X 10.6 アップデート 8 で Flashback マルウェアの最も一般的なバリアントが削除されるようになりました。
具体的には Macを狙い感染を拡大したマルウェア「Flashback」の削除ツールを搭載し、Flashbackの最も一般的な亜種にも対応する様子。
Apple は OS X 10.6ユーザーに向けては、Javaアプレットを使用しない場合に Web ブラウザで Java Web プラグインを無効にすることを推奨しています。

OS X Lion の場合、同じくJava for OS X Lion 2012-002で Java をアップデート(※インストールした場合)、Java for OS X Lion 2012-003 では Java アプレットの自動実行を無効にする Java Web プラグインを構成し、ユーザーは Java 環境設定アプリケーションを使用して Java アプレットの自動実行を再度有効にもできるようになっています。
Java Web プラグインがどのアプレットも長期間(35日)まったく実行されなかったことを検出すると Java アプレットは再度無効になります。

※Mac OS X 10.6 以前は、Java は Mac の主要なコンポーネントの一部としてOSと共にインストールされていますが、Mac OS X 10.7 以降は Java はデフォルトではインストールされていません。

あと、Mac OS X 10.5 以前の旧環境については脆弱性が残っています、というか放置?
Apple は OS X 10.5 以前の旧環境ユーザーに、Flashback などからの防衛策として Web ブラウザで Java Web プラグインを無効に設定することを推奨しています。
やっぱりちょっとでも新しいOS の方が何かと勝手にやってくれて便利で安心なようです。

Java Web プラグインを無効に設定する方法
Safariの場合:[環境設定]→[セキュリティ]→[Java を有効にするのチェックを外す]

一番新しいバージョンの Java

Mac 用の Java は Apple が独自のバージョンの Java を提供しているためソフトウェアアップデートを使用するようになっています。
Mac 以外の OS のユーザーは、オラクルの 全オペレーティングシステムの Java のダウンロード一覧から最新のものをダウンロードできます。

インストールされた Java のバージョンを知る方法
java.com の Java 仮想マシンのテスト ページを表示するとわかります。Macの場合はここではわからないので、BrowserSpy.dk サイトの Java Information ページにアクセスします。ここではブラウザで Java を無効にしていても Java のバージョンがわかります。

どうやら Java の脆弱性を悪用して Mac を標的にするようになった様子。

例によって、どんな脆弱性があるのかや何をやっているかについては対策中は被害を拡大させないように秘密にされいて、詳しい情報は対策後に後出しされます。
今回の騒ぎも Java 1.6.0_29 に複数の脆弱性があってそこを狙ったものです。

Java アプレットによって Java サンドボックス外の任意のコードが実行される可能性がある、悪意を持って作成された信頼されていない Java アプレットが含まれる Web ページにアクセスすると、現在のユーザの権限を使って任意のコードが実行される可能性があるというものでした。

Flashback botnet のようなマルウェアパッケージは、いつ、どうやって仕込まれるのか?

2011年にAdobe Flash Player のプラグイン インストーラに偽装して蔓延した 「Flashback」と呼ばれるマルウェア、今では様々な進化を遂げて亜種を増やしている様子。
悪意のある Java アプレットが含まれる Web ページにアクセスしたとか、偽インストーラでインストールした人がマルウェアを仕込まれたようです。

Flashback botnet の偽インストーラが本家よりかっこいくて笑っちゃいました

(本物)

(偽物)

ネット上に転がってるインストーラのリンクは偽物かもしれないので、出所の本家をチェックしないとダメですね。

Mac だからあんまり狙われないって時代はもうおしまい
ウイルスバリア X6を使うと定義ファイルが最新状態に更新されるのでまず安心。
inali もウイルスバリアX6 を使ってますが、リアルタイム・スキャナやデータヴォルトがあるので気が楽です。

普通のアンチウイルスソフトのように感染したファイルのチェック・隔離や、ネットワーク通信の監視も行えます。
あらかじめ自分が登録しているアプリケーション以外がネットワーク通信を行おうとすると警告を出してくれるので、スパイウェアが勝手にネットワーク接続して情報を送信するのを防げます。

iPadやiPhone、iPodのチェックやウイルス駆除も簡単におこなえますし、動作も軽くておすすめです。

あとは変なところからダウンロードしない、Adobe Reader や Flash、Java を常時最新のものにアップデートするようにしておけば普通に使ってる以上は問題ないと思います。

URL :
TRACKBACK URL :

  • コメント ( 6 )
  • トラックバック ( 0 )
  1. すごい
    これだけの情報を読み込めない
    自分が恥ずかしいです。

  2. ↓ FXトレーナーさんと 同じく・・・(:_;)
     Adobe Flash Player  のインストール!!?
    最近 よくやっていますが・・
    上の画像と同じでした。 本物だから 大丈夫ですよね!??

  3. 4月11日掲載のDr.WebのBackDoor.Flashback.39拡散推移のまとめによると
    BackDoor.Flashback.39に感染したMacの数は現在65万5700台なんだって。
    Macユーザーは、Doctor Webの無料サービスを使用すると、コンピューターが
    感染していないかどうかを調べることができます。
    (Hardware UUID入れなきゃダメだからちょっと気持ち悪いけど…。)
    てかMacじゃなかったら今回関係ないから心配ないですよ
    心配な場合はチェックしてみては?

  4. Hardware UUID入れなきゃダメなのは、ボットがコントロールサーバーへ
    送信するクエリ内に、感染したコンピューターのUUIDを含んでいるためで、
    ボットネットのトラフィックをDoctor Web側のサーバーへとリダレクト
    させて感染したホストの数を割り出しているので、もうUUIDを入れたら
    即座にデータベースで照合できるんだと思います。

  5. こんばんは
    Macは使った事がないので、今回の事件は関係ないですが、
    実際、Macは安心できるというイメージがあっただけに怖いニュースです

    基本的にPCにはセキュリティソフトは必要不可欠なんでしょうね

  6. Macを狙うマルウェアはWindowsを狙うものと比べたら数はまだまだ
    圧倒的に少ないんですけど、それでもMacのユーザーが増えてきたら
    並行して狙われる率も増えてのかなあ。
    バックドアなんて気持ち悪いですし、今回は対処されるまでの間に
    実際にボットネットになっていたし、亜種は増えてるみたいだし、
    ネットにつなぐ以上セキュリティソフトも何もなしってのはキツいかも。

この記事にコメントする

Return Top