エンジニアが知っておくべき”iWorm” | DevelopersIO
おはようございます、せーのです。 先日のイベントでは久しぶりに新たなガジェット「Apple Watch」が発表され、最近では近々新型のiPadが出るとか、攻めの姿勢で突っ走るAppleですが人生山あり谷あり、いいことばかりではありません。 先日よりmacが対象となっている新しいマルウェア、その名も「iWorm」が猛威を振るっております。 私の部屋もmacだらけですのできちんとチェックすると共に、エンジニアとしてそもそもiWormって何なのよ、というところを押さえておきたいと思います。 経緯 最初にこのマルウェアを発見したのはロシアのセキュリティ企業Dr. Webでした。Dr. Webはサイトにて声明を発表しましたがこの時点で既に17,000台ものmacが感染された後でした。マルウェアの正式名称は「Mac.BackDoor.iWorm」、C++とLUAを使って書かれており、感染源は不明(後述
New Mac OS X botnet discovered
September 29, 2014 In September 2014, Doctor Web's security experts researched several new threats to Mac OS X. One of them turned out to be a complex multi-purpose backdoor that entered the virus database as Mac.BackDoor.iWorm. Criminals can issue commands that get this program to carry out a wide range of instructions on the infected machines. A statistical analysis indicates that there are more
Mac malware signed with Apple ID infects activist’s laptop
Stealthy Mac OS X spyware that was digitally signed with a valid Apple Developer ID has been detected on the laptop of an Angolan activist attending a human rights conference, researchers said. The backdoor, which is programmed to take screenshots and send them to remote servers under the control of the attackers, was spread using a spear phishing e-mail, according to privacy activist Jacob Appelb
Mac OS Xを狙った初のエクスプロイト
2012年2月14日掲載 株式会社Doctor Web Pacific DoctorWebは、Mac OS Xプラットフォーム上で動作するデバイスをトロイの木馬に感染させてしまう脆弱性を発見しました。Mac OSは世界で最も安全なOSの1つであると考えられています。しかし攻撃者達は既知の脆弱性を悪用し、Javaによって脅威を拡散しました。 Mac OS Xコンピューターを感染させるためにJavaの脆弱性を利用しようと考えた最初のハッカーは、感染したサイトを介して拡散されるトロイの木馬BackDoor.Flashbackの開発者達でした。このマルウェアのインストーラーはAdobe Flash Playerインストーラーを装っています。ユーザーはFlashPlayer-11-macos.pkg ファイルを含んだアーカイブをダウンロード・インストールするよう促され(他のOS上ではダウンロード出来
エフセキュアブログ : 「DevilRobber」のアップデート版が登場
「DevilRobber」のアップデート版が登場 2011年11月16日19:39 ツイート fsecure_corporation クアラルンプール発 by:スレットソリューションチーム 我々は「Backdoor:OSX/DevilRobber」のアップデート版を発見した。これについては以前、記事を掲載している。 このアップデート版は、正当なアプリケーションに偽装するため、以前のものと同様のテクニックを使用しているが、今回は「PixelMator」と自称している。 同マルウェアの「dump.txt」ファイルによれば、この最新版バックドアは「Version 3(v3)」とされている。 「DevilRobberV3」に見られる大きな違いは、配布の方法が異なり、「従来型の」ダウンローダ方式であるという点にある。 我々が分析した「DevilRobberV3」サンプル(1c49632744b19
エフセキュアブログ : バックドア:OSX/DevilRobber.A
バックドア:OSX/DevilRobber.A 2011年11月04日16:13 ツイート fsecure_corporation クアラルンプール発 by:ブロデリック・アキリノ 我々は先頃、Mac OS Xマルウェアで、バックドアとトロイの木馬的な機能を持つ「DevilRobber.A」を分析した。現在までに収集したサンプルはすべて、「The Pirate Bay」サイトの一つのユーザアカウントによりアップロードされたものだ: これら共有されたファイルは、正当なMacアプリケーションだが、マルウェアのコンポーネントを含むよう修正されていた。我々が入手したサンプルには、そのコンポーネントのバリエーションがあり、これは、いくつかのサンプル(亜種)には追加の機能が存在するということを意味している。 同マルウェアの作者には、それぞれの制作物にさまざまな目的があったようだ。亜種の一つは、感染し
エフセキュアブログ : Backdoor:OSX/Tsunami.A
Backdoor:OSX/Tsunami.A 2011年11月01日01:47 ツイート sean_sullivan ヘルシンキ発 by:ショーン・サリバン 「Backdoor:OSX/Tsunami.A」に関する説明を公開した。「Tsunami」はボット機能を持つMac OS Xバックドアだ。 このボットはDDoS攻撃に関与することができ、実際、亜種の一つが「anonops」に関連してIRCサーバに接続しようと試みている。(インターネット集団)「Anonymous Ops」などでだ。 Tsunamiには明白な感染ベクタは存在しないため、一部のアナリストはOSX/Tsunamiがまだ未完成なのではないかと推測している。またサーバのリモートハッキングが、ベクタの一つである可能性を指摘しているアナリストもいる。OSX/Tsunamiが、インストールするためにPHP脆弱性を長く使ってきたLin
エフセキュアブログ : Macのトロイの木馬がXProtectアップデートを停止
Macのトロイの木馬がXProtectアップデートを停止 2011年10月19日16:46 ツイート fsecure_corporation クアラルンプール発 by:スレットソリューションチーム Macマルウェア開発に新たな何かが起きようとしている(またもや)。 最近のリサーチで、「Trojan-Downloader:OSX/Flashback.C」がAppleのOS Xビルトイン・アンチマルウェア・アプリケーション「XProtect」の自動アップデータコンポーネントを使用不能にすることが分かった。 まず「Flashback.C」は、ボディでハードコードされた「XProtectUpdater」ファイルのパスを解読する: 「Flashback.C」が「XProtectUpdater」のplistファイルのパスを解読 「Flashback.C」が「XProtectUpdater」バイナリの
News from the Lab Archive : January 2004 to September 2015
One of our analysts has discovered something interesting while debugging the latest version of Flashback, a Mac trojan that attempts to trick people into believing it's an Adobe Flash Player update. While comparing the differences between Flashback.A and Flashback.B, he saw this routine: Flashback.B performs a "vmcheck". If virtualization is detected, the trojan aborts itself. Apple started allowi
News from the Lab Archive : January 2004 to September 2015
We may have come across a Mac malware in the making. Detected as Trojan-Dropper:OSX/Revir.A, the malware disguises as a PDF file to trick user into triggering its payload. It starts by dropping a PDF file embedded in its body and opens it in an attempt to prevent the user from noticing the ongoing suspicious activity. The content of the document is taken from an article that was circulating late l
エフセキュアブログ : Trojan:BASH/QHost.WB
Trojan:BASH/QHost.WB 2011年08月01日12:17 ツイート fsecure_corporation クアラルンプール発 by:スレットソリューションチーム 我々はMac用の偽FlashPlayer.pkgインストーラに遭遇した: インストールされると、このトロイの木馬はさまざまなGoogleサイト(例えばGoogle.com.tw、Google.com.tlなど)を訪問したユーザを、オランダにあるIPアドレス「91.224.160.26」にハイジャックするため、ホストファイルにエントリを加える。 同IPアドレスのサーバは、正当なGoogleサイトに似て見えるようデザインされた偽Webページを表示する。 例えば、通常の感染していないシステム上で、Google.com.twは以下のように見える: これに対して、感染したシステム上で、Google.com.twは以下の
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
New Attack, Old Tricks
https://googledrive.com/host/0B_qgg13Ykpypekw4d2hwLVJmeDg/REMacMalware.pdf
OS X backdoor Olyx
Naked Security – Sophos News
Apple updates OS X to block Mac Trojan
Naked Security – Sophos News
Jul 25 Mac Olyx backdoor + Gh0st Backdoor in RAR archive related to July 2009 Ürümqi riots in China (Samples included)
Backdoor Olyx - is it malware on a mission for Mac? - Microsoft Malware Protection Center - Site Home - TechNet Blogs
Android Malware Eavesdrops on Users, Uses Google+ as Disguise
