OSX_MACKONTROL.A
Backdoor:MacOS/Longage.A (Microsoft), OSX.MaControl (Symantec), Backdoor.OSX.MaControl.b (Kaspersky)
Mac OS X
マルウェアタイプ:
バックドア型
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
トレンドマイクロは、このマルウェアが、組織に対する標的型攻撃に関連しているため、Noteworthy(要注意)に分類しました。
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、不正リモートユーザからリモートで受信する特定のコマンドを実行します。これにより、感染コンピュータおよび同コンピュータ上の情報は危険にさらされることとなります。
マルウェア マルウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- /Library/launched
自動実行方法
マルウェアは、以下のファイルを作成します。
- /Users/{user name}/Library/LaunchAgents/com.apple.FolderActionsxl.plist
バックドア活動
マルウェアは、不正リモートユーザからの以下のコマンドを実行します。
- Delete a file
- Download and execute a file from the C&C server
- Enumerate files
- Enumerate processes
- Execute a file
- Uninstall itself
- Send a file to the C&C server
- Send OS Version, user name, computer name
- Start a remote /bin/sh
- Terminate itself
- Terminate a process
- Delete /Users/{user name}/Library/LaunchAgents/com.apple.FolderActionsxl.plist
- Delete /Library/launched
マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。
- {BLOCKED}.{BLOCKED}.77.16:8000
その他
マルウェア は、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。
マルウェアが実行するコマンドは、以下のとおりです。
- ファイルの削除
- コマンド&コントロール(C&C)サーバからのファイルのダウンロードおよび実行
- ファイルの列挙
- プロセスの列挙
- ファイルの実行
- 自身のアンインストール
- C&Cサーバへのファイルの送信
- オペレーティングシステム(OS)の種類、ユーザ名およびコンピュータ名の送信
- 遠隔でシェルスクリプト「/bin/sh」の開始
- 自身の終了
- プロセスの終了
- ファイル "/Users/<ユーザ名>/Library/LaunchAgents/com.apple.FolderActionsxl.plist" の削除
- ファイル "/Library/launched" の削除
対応方法
手順 1
以下のファイルを検索し削除します。
- /Users/{user name}/Library/LaunchAgents/com.apple.FolderActionsxl.plist
手順 2
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「OSX_MACKONTROL.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください