解析者: Christopher Daniel So   
 別名:

OSX.Slordu (Symantec), Backdoor.OSX.Belfibod.a (Kaspersky), OSX/Slordu-A (Sophos), OSX/Stealer.B (AVG), OSX/XSLCmd.A (ESET)

 プラットフォーム:

Mac OS X

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    バックドア型

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。

マルウェアは、AppleのOS Xを改ざんするよう設計されています。マルウェアは、キー入力操作情報(Overview内です)のためファイルを作成し、感染コンピュータから情報を収集します。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

マルウェアは、ユーザのキー入力操作情報を記録し、情報を収集します。

マルウェア マルウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。

  詳細

ファイルサイズ 345,360 bytes
タイプ Mach-O
メモリ常駐 はい
発見日 2014年9月8日
ペイロード システムセキュリティへの感染活動, ファイルの作成, 情報収集

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • /Library/Logs/clipboardd
  • $HOME/Library/LaunchAgents/clipboardd

マルウェアは、以下のファイルを作成します。

  • $HOME/.fontset/pxupdate.ini
  • $HOME/.fontset/chkdiska.dat
  • $HOME/.fontset/chkdiskc.dat

マルウェアは、以下のフォルダを作成します。

  • $HOME/.fontset
  • $HOME/Library/Logs/BackupData

マルウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成したマルウェア)を終了し、侵入したコンピュータ内で作成した自身のコピーの方を実行します。

自動実行方法

マルウェアは、以下のファイルを作成します。

  • /Library/LaunchAgents/com.apple.service.clipboardd.plist
  • $HOME/Library/LaunchAgents/com.apple.service.clipboardd.plist

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

  • Upload a file to the C&C server
  • Download a file
  • Start a remote shell
  • Enumerate the contents of a directory
  • Delete a file
  • Uninstall itself
  • Capture screenshot
  • Get the following information:
    • OS name
    • OS version
    • Host name
    • User name
    • Home directory
    • Contents of the /Applications folder
  • Update configuration file

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

  • {BLOCKED}.{BLOCKED}.110.38:8000

作成活動

マルウェアは、以下のファイルを作成します。このファイルは、キー入力操作情報を収集するために利用されます。

  • $HOME/Library/Logs/BackupData/{year}{month}{day}_{hour}{minute}_{second}_keys.log

情報漏えい

マルウェアは、ユーザのキー入力操作情報を記録し、情報を収集します。

その他

マルウェア は、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。

マルウェアが実行するコマンドは、以下のとおりです。

  • C&Cサーバへファイルのアップロード
  • ファイルのダウンロード
  • リモートシェルの開始
  • ディレクトリの内容の列挙
  • ファイルの削除
  • 自身のアンインストール
  • スクリーンショットの取得
  • 以下の情報の取得
    • オペレーションシステム(OS)名(Tech Details内です)
    • OSのバージョン
    • ホスト名
    • ユーザ名
    • ホームディレクトリ
    • "/Application"フォルダの内容
  • 環境設定ファイルの更新版

  対応方法

対応検索エンジン: 9.700
初回 VSAPI パターンバージョン 11.136.07
初回 VSAPI パターンリリース日 2014年9月9日
VSAPI OPR パターンバージョン 11.137.00
VSAPI OPR パターンリリース日 2014年9月9日

手順 1

マルウェアのプロセスを終了します。マルウェアのプロセスを終了するために、「ターミナル」ウインドウを開き、以下の作業を行なってください。

  1. 「ターミナル」ウインドウに以下のコマンドを入力してください。
    • ps -A
  2. 「ターミナル」ウインドウ内に以下と同じような文字列を検索してください。
    • {number} ?? {time} /Library/Logs/clipboardd
    • {number} ?? {time} $HOME/Library/LaunchAgents/clipboardd
  3. そして{number}を確認し、メモ等をとってください。この{number}は、マルウェアのプロセスID(PID)です。各PIDに対し、以下のコマンドを入力してください。
    • kill {malware PID}

手順 2

マルウェアが作成したディレクトリを削除します。このディレクトリを削除するためには、「ターミナル」ウインドウを開き、以下のコマンドを入力してください。

  • rm -R $HOME/.fontset
  • rm -R $HOME/Library/Logs/BackupData

手順 3

マルウェアが作成したファイルを削除します。このファイルを削除するためには、「ターミナル」ウインドウを開き、以下のコマンドを入力してください。

  • rm /Library/LaunchAgents/com.apple.service.clipboardd.plist
  • rm $HOME/Library/LaunchAgents/com.apple.service.clipboardd.plist

手順 4

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「OSX_SLORDU.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

註:

  • 「ターミナル」ウインドウを開くには、[Finder]にある[アプリケーション]-[ユーティリティ]-[ターミナル]をダブルクリックします。
  • 「ターミナル」ウインドウを閉じるには、Command キーとQキーを同時に押します。

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。


ご利用はいかがでしたか? アンケートにご協力ください