OSX_IMULER.B
Backdoor:MacOS_X/Imuler.C (Microsoft), OSX.Imauler (Symantec), Trojan-Dropper.OSX.Revir.b (Kaspersky)
Mac OS X
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。
この不正なファイルは、自身のバックドアコンポーネントをインストールおよび実行するために自身を画像ファイルとして装います。
ユーザがこのマルウェアのファイルをクリックすると、マルウェアの不正活動が実行されます。その後、マルウェアは、自身を削除し、本物の画像ファイルを作成し、開きます。これにより、正規のファイルが実行されたかのように装います。
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
その他
この不正なファイルは、自身のバックドアコンポーネントをインストールおよび実行するために自身を画像ファイルとして装います。
ユーザがこのマルウェアのファイルをクリックすると、マルウェアの不正活動が実行されます。その後、マルウェアは、自身を削除し、本物の画像ファイルを作成し、開きます。これにより、正規のファイルが実行されたかのように装います。
マルウェアは、キーファイル "<マルウェアのパス>/.confr" を利用することによって、自身のコンポーネントファイル "<マルウェアのパス>/.conft" を "/tmp/.mdworker" に復号します。
そして、マルウェアは、ファイル "/tmp/.mdworker" を実行します。このファイル "/tmp/.mdworker" はトレンドマイクロの製品では「OSX_IMULER.C」として検出されます。ここで利用されるキーファイル "<マルウェアのパス>/.confr" は、画像ファイルです。
マルウェアは、キーファイル "<マルウェアのパス>/.confr" を以下のファイルにコピーします。
- <マルウェアのパス>/TMP0M34JDF8
- /tmp/TMP0M34JDF8
マルウェアは、イメージファイル "<マルウェアのパス>/TMP0M34JDF8" を開くためのファイル "/tmp/launch-IORF98" を作成し、実行します。これにより、自身の不正活動を隠ぺいします。
マルウェアは、実行後、自身を削除します。
対応方法
手順 2
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「OSX_IMULER.B」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
註:以下のファイルを検索し削除します。
- [Finder]にある[アプリケーション]-[ユーティリティ]-[ターミナル]をダブルクリックし、「ターミナル」ウインドウを開きます。
- 「ターミナル」ウインドウに以下のコマンドを入力してください。
rm /tmp/launch-IORF98
rm {malware path}/TMP0M34JDF8
rm /tmp/TMP0M34JDF8
rm {malware path}/.conft
rm {malware path}/.confr
- Command キーとQキーを同時に押し、「ターミナル」を閉じます。
ご利用はいかがでしたか? アンケートにご協力ください
