PR


写真●トロイの木馬が仕込まれたポーカー・ゲーム・アプリケーション
[画像のクリックで拡大表示]
 Macintosh向けセキュリティ製品を手がける米SecureMacと米Integoはそれぞれ米国時間2008年6月20日,Mac OS Xに感染するトロイの木馬が出回っていると警告した。SecureMacは「AppleScript.THT」,Integoは「OSX.Trojan.PokerStealer」と命名し,注意を呼びかけている。

 SecureMacによると,このトロイの木馬は最近見つかった「Apple Remote Desktop Agent」に存在するセキュリティ・ホールを悪用してMac OS X 10.4/10.5に感染し,管理者権限で作動するという。Macintoshを遠隔操作されたり,パスワードを盗まれたりする恐れがある。

 Mac OS X用スクリプト言語AppleScriptで記述されたコンパイル済みファイル「ASthtv05」(ファイル・サイズは60Kバイト)またはアプリケーション・ソフトウエア「AStht_v06」(同3.1Mバイト)の形態をとっており,ユーザーがMacintoshにダウンロードして開くと感染する。動き出すと「/Library/Caches/」フォルダに移動して身を隠し,OS起動時に自動実行されるよう自らを「System Login Items」として登録する。ファイアウォールにポートを設け,システムのログ記録機能を停止し,検出されることを防ぐ。

 感染したMacintoshのSecure Shell(ssh)機能を有効化することで遠隔操作可能な状態にし,IPアドレスとシステム/ユーザーのパスワードを外部に送信する。キーロガー機能,Macintosh内蔵カメラ「iSight」による撮影,スクリーンショット取得,ファイル共有といった機能も備える。Integoによると,「A corrupt preference file has been detected and must be repaired.」(環境設定ファイルが壊れているので修復が必要です)というメッセージを出し,管理者パスワードの入力を求めるという。

 同トロイの木馬には複数の亜種が存在し,現在あるハッカーのWebサイトで配布されている。同サイトでは,Mac OS X用インスタント・メッセージング(IM)ソフトウエア「iChat」やPtoPネットワーク「Limewire」経由での配布が議論されているという。

[発表資料(SecureMac)へ]
[発表資料(Intego)へ]