F-Secureのセキュリティ研究者によると、「Flashback.C」は、アップデートを確認するシステムバイナリであるXProtectUpdaterを上書きすることで、Appleの組み込みマルウェア対策アプリケーションXProtectの自動アップデートコンポーネントを無効にする可能性があるとのことです。ただし、この機能はまだ有効になっていないようです。
マルウェアがインストールされ、悪意のあるサーバーから外部ペイロードが配信されると、ローカル システムは最新のマルウェア対策定義を取得できなくなり、その後、ユーザーがインストールする他の悪意のあるプログラムに感染する可能性があります。その際、Mac OS X の XProtect 機能は、既知の脅威 (Apple が管理し、XProtectUpdater が毎日参照する定義リスト) に一致する悪意のあるソフトウェアをインストールしようとしたときにユーザーに表示される警告を表示するように設計されています。
システム防御を無効にすることはマルウェアプログラムが用いる一般的な戦術であり、組み込みのマルウェア検出プログラムが「あらゆるコンピューティングプラットフォーム上の最初のターゲット」であるとセキュリティ企業は指摘している。
9月下旬に発見されたトロイの木馬「Flashback.A」は、Adobe Flashのインストーラーを装い、Mac OS Xユーザーを騙して同プログラムをインストールさせ、ウェブ上のFlashベースのコンテンツにアクセスさせようとします。Appleの最新デスクトップOSであるMac OS X LionにはFlashがプリインストールされていないため、このトロイの木馬は主にMac OS X Lionユーザーを標的としています。
「Flashback.C」も同様にFlashインストーラーを装い、インストールプロセス中に同様の視覚要素(下記参照)を表示することで、ユーザーに正規のFlashをインストールしていると信じ込ませようとします。インストールされると、「Flashback.C」はまず、ユーザーが「Little Snitch」を実行しているかどうかを確認します。「Little Snitch」は、その動作をユーザーに警告するファイアウォールプログラムです。インストールされていることが判明した場合、トロイの木馬は自身を削除します。
Little Snitchが見つからない場合、マルウェアは他のインストールファイルと設定を取得するために、中国のリモートホストへの接続を試みます。F-Secureは、「リモートホストは稼働していますが、(まだ)何もプッシュしていません」と述べています。サイトがアクティブになった場合、トロイの木馬がシステムの自動更新を無効にするために使用するペイロードを配信する可能性があります。これは、SafariまたはFirefoxの再起動時に読み込まれるLSEnvironment変数を介して悪意のあるコードを配信するものです。
Â
「Flashback」トロイの木馬による潜在的な感染を防ぐために、Mac ユーザーは Adobe Flash Player のコピーを Adobe の公式 Web サイトから直接入手し、インターネットからダウンロードしたファイルが自動的に実行されないように Apple の Safari ブラウザの「ダウンロード後に「安全な」ファイルを開く」オプションを無効にすることをお勧めします。
また、ユーザーは、ローカル アカウントのパスワードが必要な理由を理解していない限り、プロンプトが表示されてもローカル アカウントのパスワードの入力を拒否する必要があります。
感染が発生した場合、F-Secure はトロイの木馬を削除するための手順を提供しています: システム全体をスキャンし、検出されたファイルをメモしてから、plist エントリを削除します:
から:
/アプリケーション/Safari.app/コンテンツ/Info.plist
/アプリケーション/Firefox.app/コンテンツ/Info.plist
検出されたファイルをすべて削除する
現時点では、Mac システムにインストールされる際に新しいトロイの木馬バージョンを自動的にマルウェアとしてフラグ付けする修正プログラムは Apple からまだ提供されていないが、トロイの木馬自体がまだ実際に動作しているわけでもないため、非合法なソースから Adobe Flash をインストールしようとしているのでなければ、ユーザーはすでに感染しているのではないかと心配する必要はない。
Mac OS Xを標的とした新たなマルウェアの作成を企む進化的な試みは、ユーザーがあらゆるソースからソフトウェアをインストールできるようにするという行為の問題点を浮き彫りにしています。これは、WindowsユーザーとMacユーザーをユーザー自身によるマルウェアの脅威で悩ませてきた問題であり、最近ではAndroidユーザーの間でも懸念が高まっています。iOSユーザーはApp Storeのセキュリティによってこのようなマルウェアの攻撃から保護されており、AppleのMac App Storeもデスクトップユーザーに同様のセキュリティを提供しています。
しかし、Adobe Flashなどのウェブブラウザプラグインや、システムに低レベルで接続されるその他のソフトウェアは、Appleの現在のポリシーではApp Storeから配信できません。皮肉なことに、ユーザーはMac App StoreからFlash Blockアプリをインストールできます。このアプリは99セントで、アクティブなFlashコンテンツを一時的に停止してバッテリーを節約したり、Flashを完全にブロックしたりできます。
