OSX_MOKES.A
MacOS:Ekoms-A [Trj] (Avast), OSX/Mokes.A (AVG), OSX/Mokes.odci (Avira), Backdoor.MAC.Mokes.A (BitDefender), OSX/Mokes.A (NOD32), Backdoor.MAC.Mokes.A (F-Secure), HEUR:Backdoor.OSX.Mokes.a (Kaspersky), OSX/Mokes-A (Sophos), Backdoor.Mokes (Symantec)
Mac OS X
- マルウェアタイプ: バックドア型
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。
このマルウェアは、スクリーンショット、音声、キー入力操作情報などの情報を窃取する機能を備えています。また、コマンドを実行し、暗号化されたデータを利用して通信します。
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
自動実行方法
マルウェアは、以下のファイルを作成します。
- /Users/{Username}/Library/LaunchAgents/{Dropped Copy filename}.plist
バックドア活動
マルウェアは、不正リモートユーザからの以下のコマンドを実行します。
- Record Audio every 30 seconds
- Monitor Removable Drives
- Take screenshots and images from installed camera
- Search and Download MS Office documents (doc, docx, xls, xlsx)
マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。
- http://{BLOCKED}.{BLOCKED}.241.141/v1
- http://{BLOCKED}ck12and67.com/v1
- http://{BLOCKED}rcameand33212.com
作成活動
マルウェアは、以下のファイルを作成します。このファイルは、収集した情報を保存するために利用されます。
- $TMPDIR/ss0-{Date}-{Time}-{ms}.sst (Captured Screenshots)
- $TMPDIR/aa0-{Date}-{Time}-{ms}.aat (Captured Audio, WAV)
- $TMPDIR/kk0-{Date}-{Time}-{ms}.kkt (Keylogs)
- $TMPDIR/dd0-{Date}-{Time}-{ms}.ddt (Arbitrary Data)
その他
マルウェアは、不正リモートユーザからの以下のコマンドを実行します。
- 30秒毎の音声の記録
- リムーバルドライブの監視
- インストールされたカメラからスクリーンショットや画像を取得
- Microsoft Office 文書の検索およびダウンロード(doc, docx, xls, xlsx)
マルウェアは、以下のファイルを作成します。このファイルは、収集した情報を保存するために利用されます。
- $TMPDIR/ss0-{Date}-{Time}-{ms}.sst (取得されたスクリーンショット)
- $TMPDIR/aa0-{Date}-{Time}-{ms}.aat (取得された 音声および WAV)
- $TMPDIR/kk0-{Date}-{Time}-{ms}.kkt (キー入力操作情報の記録)
- $TMPDIR/dd0-{Date}-{Time}-{ms}.ddt (任意のデータ)
マルウェアは、以下の順序で最初に利用可能なファイルパスに自身のコピーを作成します。
$HOME/Library/App Store/storeuserd
$HOME/Library/com.apple.spotlight/SpotlightHelper
$HOME/Library/Dock/com.apple.dock.cache
$HOME/Library/Skype/SkypeHelper
$HOME/Library/Dropbox/DropboxCache
$HOME/Library/Google/Chrome/nacld
$HOME/Library/Firefox/Profiles/profiled
マルウェアは、以下のユーザエージェントを利用します。
- Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, like Gecko) Version/7.0.3 Safari/7046A194A
マルウェアは、AES暗号「AES-256-CBC」を利用してコマンド&コントロール(C&C)サーバ と通信して自身の活動を隠ぺいします。
対応方法
手順 1
マルウェアのプロセスを終了してください。マルウェアのプロセスを終了するのに、ターミナルウィンドウを開き、以下のコマンドを実行してください。以下のコマンドを入力してください。
ps -A
ターミナルウィンドウ内で、以下に類似した行を検索してください。
{number} ?? {time} $HOME/Library/App Store/storeuserd
{number} ?? {time} $HOME/Library/com.apple.spotlight/SpotlightHelper
{number} ?? {time} $HOME/Library/Dock/com.apple.dock.cache
{number} ?? {time} $HOME/Library/Skype/SkypeHelper
{number} ?? {time} $HOME/Library/Dropbox/DropboxCache
{number} ?? {time} $HOME/Library/Google/Chrome/nacld
{number} ?? {time} $HOME/Library/Firefox/Profiles/profiled
{number} は、マルウェアのプロセスID(PID)のため、メモしてください。各マルウェアのプロセスを終了させるために、コマンド ”kill {malware PID}”を実行してください。
手順2
マルウェアのファイルを削除します。マルウェアのファイルを削除するのに、ターミナルウィンドウを開き、以下のコマンドを実行してください。
rm $TMPDIR/ss0-{Date}-{Time}-{ms}.sst (取得されたスクリーンショット)
rm $TMPDIR/aa0-{Date}-{Time}-{ms}.aat (取得された音声およびWAV)
rm $TMPDIR/kk0-{Date}-{Time}-{ms}.kkt (キー入力操作情報の記録)
rm $TMPDIR/dd0-{Date}-{Time}-{ms}.ddt (任意のデータ)
rm /Users/{Username}/Library/LaunchAgents/{Dropped Copy filename}.plist
手順 3
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「OSX_MOKES.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
註:
- 「ターミナル」ウインドウを開く場合、[Finder]上で[アプリケーション]-[ユーティリティ]を選択し、[ターミナル]をダブルクリックしてください。
- 「ターミナル」ウインドウを閉じる場合、「Command キー+Q」を同時に押し、「ターミナル」を閉じます。このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。
ご利用はいかがでしたか? アンケートにご協力ください