MacOS:Ekoms-A [Trj] (Avast), OSX/Mokes.A (AVG), OSX/Mokes.odci (Avira), Backdoor.MAC.Mokes.A (BitDefender), OSX/Mokes.A (NOD32), Backdoor.MAC.Mokes.A (F-Secure), HEUR:Backdoor.OSX.Mokes.a (Kaspersky), OSX/Mokes-A (Sophos), Backdoor.Mokes (Symantec)
Mac OS X
トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。
このマルウェアは、スクリーンショット、音声、キー入力操作情報などの情報を窃取する機能を備えています。また、コマンドを実行し、暗号化されたデータを利用して通信します。
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
自動実行方法
マルウェアは、以下のファイルを作成します。
バックドア活動
マルウェアは、不正リモートユーザからの以下のコマンドを実行します。
マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。
作成活動
マルウェアは、以下のファイルを作成します。このファイルは、収集した情報を保存するために利用されます。
その他
マルウェアは、不正リモートユーザからの以下のコマンドを実行します。
マルウェアは、以下のファイルを作成します。このファイルは、収集した情報を保存するために利用されます。
マルウェアは、以下の順序で最初に利用可能なファイルパスに自身のコピーを作成します。
$HOME/Library/App Store/storeuserd
$HOME/Library/com.apple.spotlight/SpotlightHelper
$HOME/Library/Dock/com.apple.dock.cache
$HOME/Library/Skype/SkypeHelper
$HOME/Library/Dropbox/DropboxCache
$HOME/Library/Google/Chrome/nacld
$HOME/Library/Firefox/Profiles/profiled
マルウェアは、以下のユーザエージェントを利用します。
マルウェアは、AES暗号「AES-256-CBC」を利用してコマンド&コントロール(C&C)サーバ と通信して自身の活動を隠ぺいします。
手順 1
マルウェアのプロセスを終了してください。マルウェアのプロセスを終了するのに、ターミナルウィンドウを開き、以下のコマンドを実行してください。以下のコマンドを入力してください。
ps -A
ターミナルウィンドウ内で、以下に類似した行を検索してください。
{number} ?? {time} $HOME/Library/App Store/storeuserd
{number} ?? {time} $HOME/Library/com.apple.spotlight/SpotlightHelper
{number} ?? {time} $HOME/Library/Dock/com.apple.dock.cache
{number} ?? {time} $HOME/Library/Skype/SkypeHelper
{number} ?? {time} $HOME/Library/Dropbox/DropboxCache
{number} ?? {time} $HOME/Library/Google/Chrome/nacld
{number} ?? {time} $HOME/Library/Firefox/Profiles/profiled
{number} は、マルウェアのプロセスID(PID)のため、メモしてください。各マルウェアのプロセスを終了させるために、コマンド ”kill {malware PID}”を実行してください。
手順2
マルウェアのファイルを削除します。マルウェアのファイルを削除するのに、ターミナルウィンドウを開き、以下のコマンドを実行してください。
rm $TMPDIR/ss0-{Date}-{Time}-{ms}.sst (取得されたスクリーンショット)
rm $TMPDIR/aa0-{Date}-{Time}-{ms}.aat (取得された音声およびWAV)
rm $TMPDIR/kk0-{Date}-{Time}-{ms}.kkt (キー入力操作情報の記録)
rm $TMPDIR/dd0-{Date}-{Time}-{ms}.ddt (任意のデータ)
rm /Users/{Username}/Library/LaunchAgents/{Dropped Copy filename}.plist
手順 3
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「OSX_MOKES.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
註: