OSX_SLORDU.A
OSX.Slordu (Symantec), Backdoor.OSX.Belfibod.a (Kaspersky), OSX/Slordu-A (Sophos), OSX/Stealer.B (AVG), OSX/XSLCmd.A (ESET)
Mac OS X

マルウェアタイプ:
バックドア型
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。
マルウェアは、AppleのOS Xを改ざんするよう設計されています。マルウェアは、キー入力操作情報(Overview内です)のためファイルを作成し、感染コンピュータから情報を収集します。
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。
マルウェアは、ユーザのキー入力操作情報を記録し、情報を収集します。
マルウェア マルウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- /Library/Logs/clipboardd
- $HOME/Library/LaunchAgents/clipboardd
マルウェアは、以下のファイルを作成します。
- $HOME/.fontset/pxupdate.ini
- $HOME/.fontset/chkdiska.dat
- $HOME/.fontset/chkdiskc.dat
マルウェアは、以下のフォルダを作成します。
- $HOME/.fontset
- $HOME/Library/Logs/BackupData
マルウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成したマルウェア)を終了し、侵入したコンピュータ内で作成した自身のコピーの方を実行します。
自動実行方法
マルウェアは、以下のファイルを作成します。
- /Library/LaunchAgents/com.apple.service.clipboardd.plist
- $HOME/Library/LaunchAgents/com.apple.service.clipboardd.plist
バックドア活動
マルウェアは、不正リモートユーザからの以下のコマンドを実行します。
- Upload a file to the C&C server
- Download a file
- Start a remote shell
- Enumerate the contents of a directory
- Delete a file
- Uninstall itself
- Capture screenshot
- Get the following information:
- OS name
- OS version
- Host name
- User name
- Home directory
- Contents of the /Applications folder
- Update configuration file
マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。
- {BLOCKED}.{BLOCKED}.110.38:8000
作成活動
マルウェアは、以下のファイルを作成します。このファイルは、キー入力操作情報を収集するために利用されます。
- $HOME/Library/Logs/BackupData/{year}{month}{day}_{hour}{minute}_{second}_keys.log
情報漏えい
マルウェアは、ユーザのキー入力操作情報を記録し、情報を収集します。
その他
マルウェア は、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。
マルウェアが実行するコマンドは、以下のとおりです。
- C&Cサーバへファイルのアップロード
- ファイルのダウンロード
- リモートシェルの開始
- ディレクトリの内容の列挙
- ファイルの削除
- 自身のアンインストール
- スクリーンショットの取得
- 以下の情報の取得
- オペレーションシステム(OS)名(Tech Details内です)
- OSのバージョン
- ホスト名
- ユーザ名
- ホームディレクトリ
- "/Application"フォルダの内容
- 環境設定ファイルの更新版
対応方法
手順 1
マルウェアのプロセスを終了します。マルウェアのプロセスを終了するために、「ターミナル」ウインドウを開き、以下の作業を行なってください。
- 「ターミナル」ウインドウに以下のコマンドを入力してください。
- ps -A
- 「ターミナル」ウインドウ内に以下と同じような文字列を検索してください。
- {number} ?? {time} /Library/Logs/clipboardd
- {number} ?? {time} $HOME/Library/LaunchAgents/clipboardd
- そして{number}を確認し、メモ等をとってください。この{number}は、マルウェアのプロセスID(PID)です。各PIDに対し、以下のコマンドを入力してください。
- kill {malware PID}
手順 2
マルウェアが作成したディレクトリを削除します。このディレクトリを削除するためには、「ターミナル」ウインドウを開き、以下のコマンドを入力してください。
- rm -R $HOME/.fontset
- rm -R $HOME/Library/Logs/BackupData
手順 3
マルウェアが作成したファイルを削除します。このファイルを削除するためには、「ターミナル」ウインドウを開き、以下のコマンドを入力してください。
- rm /Library/LaunchAgents/com.apple.service.clipboardd.plist
- rm $HOME/Library/LaunchAgents/com.apple.service.clipboardd.plist
手順 4
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「OSX_SLORDU.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
註:
- 「ターミナル」ウインドウを開くには、[Finder]にある[アプリケーション]-[ユーティリティ]-[ターミナル]をダブルクリックします。
- 「ターミナル」ウインドウを閉じるには、Command キーとQキーを同時に押します。
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
ご利用はいかがでしたか? アンケートにご協力ください