AppleInsiderスタッフ
· 1分で読めます
iWormのC&CサーバーリストをホストするReddit.com投稿のスクリーンショット。| 出典: Dr. Web
セキュリティ研究者らは最近、世界中で 17,000 台以上の Mac が「iWorm」と呼ばれる新しい OS X マルウェアの脅威に感染していることを発見しました。このマルウェアはかつて Reddit.com を仲介として利用し、ユーザー データを収集し、さまざまなシステム アクションを実行し、Lua スクリプトを実行していました。
ロシアの調査会社Dr.Webのウイルスデータベースに「Mac.BackDoor.iWorm」として登録されたこの新たな脅威は、感染したホストMacに様々なコマンドを実行させることのできる、複雑で多目的なバックドアであると説明されています。このマルウェアが実行可能な操作には、データ収集や限定的なシステムリモート制御などがあります。
iWormはインストール後、オペレーティングシステムファイルを作成し、ポートを開いて制御サーバーのリストを要求し、接続して次の指示を待ちます。このマルウェアの特徴は、Reddit.comの検索サービスを利用してボットネットサーバーのリストを取得することです。このリストは最近まで「minecraftserverlists」という投稿へのコメントに偽装されていました。
Reddit のスレッドはその後閉鎖されましたが、iWorm の作成者は、まだ発見されていない別の検索サービスを通じて別のサーバー リストを設定した可能性があります。
iWormがコマンド&コントロールサーバーに接続すると、バックドアはバイナリデータまたはLuaプログラミング言語を介して命令を取得します。あるいは、接続されたサーバーが別のマルウェアを送信し、感染マシンをさらに侵害する可能性もあります。
iWorm 自体は、機密性の高いユーザー情報を収集して送信したり、構成ファイルにパラメータを設定したり、GET クエリを実行したり、Mac をスリープ状態にしたり、ノードを禁止したり、ネストされた Lua スクリプトを実行したり、その他のバックドア操作を実行したりできます。
9 月下旬時点で iWorm の影響を受けた個々の ISP。
iWormはOS X上のフォルダに解凍されるため、ユーザーはOS XのFinderメニューから「移動 > フォルダへ移動」を選択し、 と入力することで、Macが感染しているかどうかを確認でき/Library/Application Support/JavaWます。OS Xがフォルダを見つけられない場合、コンピュータはクリーンです。フォルダが見つかった場合は、アンチウイルスプログラムを使用してハードドライブからiWormを駆除することをお勧めします。
Dr. Web による iWorm の統計分析によれば、このマルウェアは 9 月 26 日時点で世界中で約 17,658 台の Mac に感染している。
