OSX_SABPAB.A
OSX.Sabpab (Symantec); OSX/Sabpab-A (Sophos)
Mac OS X
- マルウェアタイプ: バックドア型
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。
マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。 マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。
詳細
侵入方法
マルウェアは、以下のマルウェアに作成され、コンピュータに侵入します。
- TROJ_MDROP.SBPAB
インストール
マルウェアは、以下のファイルを作成します。
- /Library/Preferences/com.apple.PubSabAgent.pfile - backdoor component
- /Library/LaunchAgents/com.apple.PubSabAgent.plist - autostart component
バックドア活動
マルウェアは、不正リモートユーザからの以下のコマンドを実行します。
- Create processes
- Download and execute file(s)
- Capture screenshot(s)
- Upload file(s) to a remote server
マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。
- rtx556.{BLOCKED}b.com
その他
マルウェアが作成する以下のファイルは、バックドア型コンポーネントです。
- /Library/Preferences/com.apple.PubSabAgent.pfile
マルウェアが作成する以下のファイルは、自動実行のためのコンポーネントです。
- /Library/LaunchAgents/com.apple.PubSabAgent.plist
マルウェアが実行するコマンドは以下のとおりです。
- プロセスの追加
- ファイルのダウンロードおよび実行
- スクリーンショットの取得
- リモートサーバへのファイルのアップロード
対応方法
「OSX_SABPAB.A」を作成またはダウンロードする不正なファイルを削除します。
手順 2
マルウェアが作成したファイルを削除します。この自動実行ファイルを削除するためには、「ターミナル」ウインドウを開き、以下のコマンドを入力してください。
"rm "/Library/LaunchAgents/com.apple.PubSabAgent.plist"
手順 3
マルウェアのプロセスを終了します。マルウェアのプロセスを終了するために、「ターミナル」ウインドウを開き、以下の作業を行なってください。
- 「ターミナル」ウインドウに以下のコマンドを入力してください。
ps -A
- 「ターミナル」ウインドウ内に以下と同じような文字列を検索してください。そして<数値>を確認し、メモ等をとってください。この数値は、マルウェアのプロセスID(PID)です。
<数値> ?? Ss <時間>
/Library/Preferences/com.apple.PubSabAgent.pfile - 以下のコマンドをコマンドを入力してください。
kill <確認したマルウェアのPID>
手順 4
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「OSX_SABPAB.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
註:
- 「ターミナル」ウインドウを開く場合、[Finder]上で[アプリケーション]-[ユーティリティ]を選択し、[ターミナル]をダブルクリックしてください。
- 「ターミナル」ウインドウを閉じる場合、「Command キー+Q」を同時に押し、「ターミナル」を閉じます。
ご利用はいかがでしたか? アンケートにご協力ください