ザック・スピア
· 2分で読めます
iWork '09
Mac セキュリティ ソフトウェア メーカーの Intego は先週、BitTorrent ファイル共有ネットワークで出回っている Apple の iWork '09 の海賊版に「OSX.Trojan.iServices.A」と呼ばれるマルウェアを発見しました。この海賊版では、iWork インストーラーの市販コピーには含まれていない「iWorkServices.pkg」という追加パッケージが、読み取り/書き込み/実行権限を持つスタートアップ項目としてインストールされます。
Intego 社によれば、この不正ソフトウェアはリモート サーバーに接続して、トロイの木馬がさまざまな Mac にインストールされていることを作成者に通知し、作成者はそれらの Mac に接続して、マシンに追加のコンポーネントをダウンロードするなど、さまざまな操作をリモートで実行できるという。
Integoは感染リスクを深刻と見なし、ユーザーのMacがソフトウェアに感染した場合、「極めて深刻な結果」を招く可能性があると警告している。同社によると、警告発出時点で既に2万人がインストーラをダウンロードしていたという。Integoは現在、最初の警告発出以降、さらに1,000人がダウンロードしたと数えている。
インテゴ社は月曜日朝のこの件に関する最新情報で、トロイの木馬に感染したMacにはバックグラウンドでダウンロードされる新しいコードが押し込まれ、それが特定のウェブサイトに対するDDoS(分散型サービス拒否)攻撃を容易にするのに使われていると述べた。
フォトショップCS4
Intego 社は、アップデートの一環として、Adobe Photoshop CS4 の海賊版に含まれる「OSX.Trojan.iServices.B」と呼ばれる同じトロイの木馬の新しい亜種を発見したとも発表している。同社によれば、このインストーラーはすでに 5,000 人がダウンロードしており、現在危険にさらされているという。
このインストーラーは、追加のパッケージをインストールするのではなく、購入した小売キーなしで使用できるようにプログラムをシリアル化するクラック アプリケーションを通じてシステムを侵害します。このアプリは、データから実行可能ファイルを抽出し、/var/tmp/ にバックドアをインストールします。ユーザーがクラック アプリを再度実行すると、異なるランダムな名前の新しい実行可能ファイルが作成され、マルウェアを安全に削除することが困難になります。
管理者パスワードが入力されると、ルート権限を持つバックドアが起動し、実行ファイルが /usr/bin/DivX にコピーされ、スタートアップ項目が /System/Library/StartupItems/DivX にコピーされます。Intego によると、その後、2 つの IP アドレスに繰り返し接続が行われます。
悪意のあるユーザーは、影響を受けた Mac に接続し、さまざまな操作やダウンロードをリモートで実行できます。Intego は、このトロイの木馬が同様の DDoS 攻撃の実行にも使用される可能性があると予測しています。
警告
これら 2 つの非常に深刻なリスクのため、Intego は Mac ユーザーに対し、クラッキング ソフトウェアを配布するサイトからクラッキング ソフトウェアをダウンロードしないよう警告しています。
「感染したユーザーの数が多いため、感染のリスクは深刻であり、これらのユーザーのMacが悪意のあるユーザーにアクセスできる場合、極めて深刻な結果に直面する可能性があります」とセキュリティ会社のウェブサイト上の通知には記されている。
Intego 社は、信頼できないソースや疑わしい Web サイトからソフトウェアをダウンロードしてインストールしないよう、ユーザーに推奨しています。同社によると、2009 年 1 月 22 日以降のウイルス定義を適用した自社の VirusBarrier X4 および X5 製品が、これら 2 つのトロイの木馬から保護します。
