解析者: Nikko Tamana   

 別名:

MacOS:Ekoms-A [Trj] (Avast), OSX/Mokes.A (AVG), OSX/Mokes.odci (Avira), Backdoor.MAC.Mokes.A (BitDefender), OSX/Mokes.A (NOD32), Backdoor.MAC.Mokes.A (F-Secure), HEUR:Backdoor.OSX.Mokes.a (Kaspersky), OSX/Mokes-A (Sophos), Backdoor.Mokes (Symantec)

 プラットフォーム:

Mac OS X

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    バックドア型

  • 破壊活動の有無:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。

このマルウェアは、スクリーンショット、音声、キー入力操作情報などの情報を窃取する機能を備えています。また、コマンドを実行し、暗号化されたデータを利用して通信します。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

  詳細

ファイルサイズ 14,371,256 bytes
タイプ Mach-O
メモリ常駐 はい
発見日 2016年9月8日
ペイロード URLまたはIPアドレスに接続, システムセキュリティへの感染活動

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

自動実行方法

マルウェアは、以下のファイルを作成します。

  • /Users/{Username}/Library/LaunchAgents/{Dropped Copy filename}.plist

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

  • Record Audio every 30 seconds
  • Monitor Removable Drives
  • Take screenshots and images from installed camera
  • Search and Download MS Office documents (doc, docx, xls, xlsx)

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

  • http://{BLOCKED}.{BLOCKED}.241.141/v1
  • http://{BLOCKED}ck12and67.com/v1
  • http://{BLOCKED}rcameand33212.com

作成活動

マルウェアは、以下のファイルを作成します。このファイルは、収集した情報を保存するために利用されます。

  • $TMPDIR/ss0-{Date}-{Time}-{ms}.sst (Captured Screenshots)
  • $TMPDIR/aa0-{Date}-{Time}-{ms}.aat (Captured Audio, WAV)
  • $TMPDIR/kk0-{Date}-{Time}-{ms}.kkt (Keylogs)
  • $TMPDIR/dd0-{Date}-{Time}-{ms}.ddt (Arbitrary Data)

その他

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

  • 30秒毎の音声の記録
  • リムーバルドライブの監視
  • インストールされたカメラからスクリーンショットや画像を取得
  • Microsoft Office 文書の検索およびダウンロード(doc, docx, xls, xlsx)

マルウェアは、以下のファイルを作成します。このファイルは、収集した情報を保存するために利用されます。

  • $TMPDIR/ss0-{Date}-{Time}-{ms}.sst (取得されたスクリーンショット)
  • $TMPDIR/aa0-{Date}-{Time}-{ms}.aat (取得された 音声および WAV)
  • $TMPDIR/kk0-{Date}-{Time}-{ms}.kkt (キー入力操作情報の記録)
  • $TMPDIR/dd0-{Date}-{Time}-{ms}.ddt (任意のデータ)

マルウェアは、以下の順序で最初に利用可能なファイルパスに自身のコピーを作成します。

$HOME/Library/App Store/storeuserd
$HOME/Library/com.apple.spotlight/SpotlightHelper
$HOME/Library/Dock/com.apple.dock.cache
$HOME/Library/Skype/SkypeHelper
$HOME/Library/Dropbox/DropboxCache
$HOME/Library/Google/Chrome/nacld
$HOME/Library/Firefox/Profiles/profiled

マルウェアは、以下のユーザエージェントを利用します。

  • Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, like Gecko) Version/7.0.3 Safari/7046A194A

マルウェアは、AES暗号「AES-256-CBC」を利用してコマンド&コントロール(C&C)サーバ と通信して自身の活動を隠ぺいします。

  対応方法

対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 12.764.08
初回 VSAPI パターンリリース日 2016年9月8日
VSAPI OPR パターンバージョン 12.765.00
VSAPI OPR パターンリリース日 2016年9月9日

手順 1

マルウェアのプロセスを終了してください。マルウェアのプロセスを終了するのに、ターミナルウィンドウを開き、以下のコマンドを実行してください。以下のコマンドを入力してください。

ps -A
ターミナルウィンドウ内で、以下に類似した行を検索してください。
{number} ?? {time} $HOME/Library/App Store/storeuserd
{number} ?? {time} $HOME/Library/com.apple.spotlight/SpotlightHelper
{number} ?? {time} $HOME/Library/Dock/com.apple.dock.cache
{number} ?? {time} $HOME/Library/Skype/SkypeHelper
{number} ?? {time} $HOME/Library/Dropbox/DropboxCache
{number} ?? {time} $HOME/Library/Google/Chrome/nacld
{number} ?? {time} $HOME/Library/Firefox/Profiles/profiled

{number} は、マルウェアのプロセスID(PID)のため、メモしてください。各マルウェアのプロセスを終了させるために、コマンド ”kill {malware PID}”を実行してください。

手順2

マルウェアのファイルを削除します。マルウェアのファイルを削除するのに、ターミナルウィンドウを開き、以下のコマンドを実行してください。

rm $TMPDIR/ss0-{Date}-{Time}-{ms}.sst (取得されたスクリーンショット)
rm $TMPDIR/aa0-{Date}-{Time}-{ms}.aat (取得された音声およびWAV)
rm $TMPDIR/kk0-{Date}-{Time}-{ms}.kkt (キー入力操作情報の記録)
rm $TMPDIR/dd0-{Date}-{Time}-{ms}.ddt (任意のデータ)
rm /Users/{Username}/Library/LaunchAgents/{Dropped Copy filename}.plist

手順 3

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「OSX_MOKES.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

註:

  • 「ターミナル」ウインドウを開く場合、[Finder]上で[アプリケーション]-[ユーティリティ]を選択し、[ターミナル]をダブルクリックしてください。
  • 「ターミナル」ウインドウを閉じる場合、「Command キー+Q」を同時に押し、「ターミナル」を閉じます。このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。


ご利用はいかがでしたか? アンケートにご協力ください