別名:

OSX/WireLurker.A (ESET), Trojan-Downloader.OSX.WireLurker.a (Kaspersky)

 プラットフォーム:

Mac OS X (64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。

マルウェアは、「Wirelurker」ファミリに属するトロイの木馬化されたアプリです。

マルウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。 マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。

  詳細

ファイルサイズ 不定
タイプ Other
メモリ常駐 はい
発見日 2014年11月7日
ペイロード 情報収集

侵入方法

マルウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のコンポーネントファイルを作成します。

  • /Library/LaunchDaemons/com.apple.machook_damon.plist
  • /Library/LaunchDaemons/com.apple.globalupdate.plist
  • /Users/Shared/start.sh
  • /Users/Shared/FontMap1.cfg
  • /usr/bin/globalupdate
  • /usr/local/macbook/watch.sh
  • /usr/local/machook/sfbase.dylib
  • /tmp/machook.log

情報漏えい

マルウェアは、以下の情報を収集します。

  • Serial number
  • Phone number
  • Model number
  • Product version
  • Product type
  • AppleID

その他

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

  • http://{BLOCKED}baby.com/app/app.php?sn={serial number}&pn={Phone number}&mn={Model number}&pv={Product version}&appid={value}&os=macservice&pt={Product type}&msn={value}&yy={value}
  • http://{BLOCKED}baby.com/mac/saveinfo.php

<補足>
マルウェアが収集する情報は、以下のとおりです。

  • シリアル番号
  • 電話番号
  • モデル番号
  • プロダクトバージョン
  • プロダクトタイプ
  • Apple ID

コンポーネント"globalupdate"(「OSX_WIRELURK.A」として検出)により、マルウェアは、サーバから自身のコピーの更新版をダウンロードおよび以下のように保存することが可能となります。

  • /usr/local/machook/update/update.zip

マルウェアは、以下のURLへアクセスし、自身のコピーの更新版へのリンクを取得します。

  • http://{BLOCKED}baby.com/app/getversion.php?sn={シリアル番号}

マルウェアは、iOSの端末のプラグインを定期的に確認します。マルウェアは、端末へのアクセス許可のため、AFC2サービスである"http://{BLOCKED}onewiki.com/wiki/AFC.com.apple.afc2"へアクセスします。そして、マルウェアは以下のファイルを端末へコピーします。

  • /usr/local/machook/sfbase.dylib to /Library/MobileSubstrate/DynamicLibraries/sfbase.dylib

  対応方法

対応検索エンジン: 9.700
初回 VSAPI パターンバージョン 11.262.04
初回 VSAPI パターンリリース日 2014年11月7日
VSAPI OPR パターンバージョン 11.263.00
VSAPI OPR パターンリリース日 2014年11月8日

  1. トレンドマイクロ製品でコンピュータをスキャンし、「OSX_WIRELURK.A」として検出されたファイルのパスをメモします。
  2. 上述の手順でメモしたパスを用いて、実行中のプロセスを確認し、終了します。
    1. [ターミナル]を開きます。
      • [アプリケーション]>[ユーティリティ]>[ターミナル]を選択するか、"Spotlight"で[ターミナル]と入力します
    2. ターミナルで以下をタイプします。
      • ps –A
    3. 検出されたファイルを確認し、そのPIDをメモします。検出されたファイルが実行していない場合、以下の手順を実行してください。
    4. このターミナルで、以下を入力します。
      • kill {PID}
  3. 検出されたファイルを削除します。
    1. 同様のターミナルで、以下をタイプし、Enterを押します。
      • sudo rm -R /Library/LaunchDaemons/com.apple.machook_damon.plist
      • sudo rm -R /Library/LaunchDaemons/com.apple.globalupdate.plist
      • sudo rm -R /Users/Shared/start.sh
      • sudo rm -R /Users/Shared/FontMap1.cfg
      • sudo rm -R /usr/bin/globalupdate
      • sudo rm -R /usr/local/macbook/watch.sh
  4. トレンドマイクロ製品でコンピュータをスキャンし、「OSX_WIRELURK.A」として検出されるファイルを削除します。


ご利用はいかがでしたか? アンケートにご協力ください