OSX_MORCUT.A

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。

マルウェアは、情報収集活動を展開するために、Mac製品が搭載する音声機能を悪用するという新たな方法を利用します。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、不正リモートユーザからリモートで受信する特定のコマンドを実行します。これにより、感染コンピュータおよび同コンピュータ上の情報は危険にさらされることとなります。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のフォルダを作成します。

• /Library/ScriptingAdditions/appleHID (if running as root)
• /Users/{user name}/Library/ScriptingAdditions/appleHID (if not running as root)

自動実行方法

マルウェアは、以下のファイルを作成します。

• /Library/LaunchAgents/com.apple.mdworker.plist (if running as root)
• /Users/{user name}/Library/LaunchAgents/com.apple.mdworker.plist (if not running as root)

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• Download a file
• Execute a command using /bin/sh
• Record audio
• Scan for network connections
• Search a file
• Uninstall itself
• Upload a file

その他

マルウェアは、以下のカーネル機能拡張を作成します。

• /Library/ScriptingAdditions/appleHID/Contents/Resources/＜ランダムなファイル名＞.kext/Contents/MacOS/＜ランダムなファイル名＞ - Root権限を持つユーザとして実行している場合
• /Users/＜ユーザ名＞/Library/ScriptingAdditions/appleHID/Contents/Resources/＜ランダムなファイル名＞.kext/Contents/MacOS/＜ランダムなファイル名＞ - Root権限を持つユーザとして実行していない場合

作成されたカーネル機能拡張もまた、このマルウェアとして検出されます。マルウェアは、このカーネル機能拡張を利用し、作成したフォルダや自身のプロセスを隠ぺいします。

マルウェアは、以下の OS Xプラットフォームで実行します。

• 10.5 (Leopard)
• 10.6 (Snow Leopard)
• 10.7 (Lion)

マルウェアが実行するコマンドは、以下のとおりです。

• ファイルのダウンロード
• 「/bin/sh」を利用し、コマンドを実行する
• 音声の録音
• ネットワーク接続の検索
• ファイルの検索
• 自身のインストール
• ファイルのアップロード