このページの本文へ

McAfee Blog

MacをターゲットにしたFlashbackマルウェアの亜種が拡散中

2012年04月24日 15時30分更新

文● McAfee

  • この記事をはてなブックマークに追加
  • 本文印刷

 Macを攻撃するトロイの木馬、Flashbackがニュースになっています。今年4月4日頃には、50万件を超える感染が報告されました。さらに最近では新しい亜種が拡散中であることがわかりました。マルウェアによる攻撃が成功すれば、そのコピーや亜種が複数発生するのは当然のことです。

 Flashbackはウイルスと異なるトロイの木馬であるため、自己複製しません。多くの場合、有益なファイルと見せかけたり、ユーザーが入手するよう誘導したりして、手動で実行させて繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用してユーザーを騙し、手動で未知のプログラムを実行させることです。メール、悪質なWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。現時点では、CVE-2012-0507の脆弱性に関連する脆弱なJavaプラグインをターゲットにしていました。ユーザーが乗っ取ったページにアクセスすると、iframeタグを使って、ユーザーを別の悪質なページにリダイレクトし、悪質なJavaアプレットにより、実際のエクスプロイトが動作します。

 OSX/Flashfake(正式な検出名)はCVE-2012-0507を利用する悪質なJavaアプレットによってドロップ(作成)され、実行されると、ユーザーに管理者パスワードの入力を求めます。ユーザーがパスワードを入力してもしなくても、Flashbackはシステムに感染しようとします。パスワードを入力すると、感染方法が変わるだけです。

 Flashbackはcomadobefp.pkgという名前のPKGファイルとして届き、Flash Playerのインストーラーを装っています。

 ユーザーに管理者権限で実行するよう求めます。

 インストールに成功すると、リモートサイトにアクセスし、必要な構成ファイルをダウンロードしようとします。

 また、Flashbackには、ファイアウォールがターゲットシステムにインストールされているかどうか確認するという特性があり、ファイアウォールが見つかると、アンインストールします。(Flashbackの中には、シンクホールを利用して配布されるものもあります。)

 感染したユーザーは気付かないうちにfake-AVの亜種をダウンロードします。これを回避するには、最新のシステムで最新のセキュリティソフトウェアを実行し、ブラウザプラグインを使ってスクリプトやiframeが実行されないようにし、不審なWebサイトへのアクセスを防ぐセーフブラウジング機能を使用してください。

※この記事は、McAfeeの運営しているブログから、注目のエントリーを編集部でピックアップし、転載しているものです。

週刊アスキー最新号

編集部のお勧め

ASCII倶楽部

ASCII.jp Focus

MITテクノロジーレビュー

  • 電撃オンライン - 電撃の総合ゲーム情報&雑誌情報サイト!
  • 電撃ホビーWEB - 電撃のホビー雑誌・書籍&ホビーニュースサイト
  • 電撃文庫 - 電撃文庫&電撃文庫MAGAZINEの公式サイト
  • 電撃屋.com - 電撃のアイテムを集めた公式ショッピングサイト!
  • アスキー・メディアワークス
  • 角川アスキー総合研究所
  • アスキーカード
  • アスキーの本と雑誌

不正商品にご注意ください!

アスキー・ビジネスセレクション

プレミアムPC試用レポート

ピックアップ

電撃モバイルNEO バナー

デジタル用語辞典

ASCII.jp RSS2.0 配信中