「iWorm」に感染してるか確認方法(Mac OSX)

ニュース記事は、INTERNET Watchより抜粋ですが、

1万7000台を超えるMacがマルウェアに感染し、ボットネットを形成していることが、セキュリティソフト「Dr.WEB」開発元として知られるロシアのセキュリティ企業Doctor Webの調査によって判明した。

Macユーザーにはウイルスやマルウェアに感染しにくいという“神話”が根強いが、実際は容易に感染するため、早急な対策が必要だ。

現時点でiWormがどのような行動を実際に起こしたのかは不明だ。ただ、感染したMacに対するさまざまな情報収集能力と、命令を実行する能力を持つことは確認されている。英語圏で人気の掲示板「reddit」を介して命令を受け取ることも判明している。

感染数が最も多いのは米国で4610件(26.1%)。以下、カナダが1235件(7.0%)、英国が1227件(6.9%)などで、上11カ国で計1万1839件に上り、67%を占めている。日本での感染件数は明らかにされていないが、残りの33%中に含まれている可能性がある。また、これは9月26日時点の調査であり、感染がさらに広がっている可能性もある。

10月2日までに、このマルウェア「iWorm」には少なくとも4種類の亜種が存在するとみられるが、感染源は未だ不明だ。「Mac.OSX.iWorm.B」では「Mac.BackDoor.iWorm.」と命名。また、BitDefenderでは「Mac.OSX.iWorm.A.」「Mac.OSX.iWorm.B」「Mac.OSX.iWorm.C」「Mac.OSX.iWorm.D」、Integoでは「OSX/iWorm」としている。

iWormの大きな特徴は命令を受け取るその手法にある。通常、ボットネットはコントロールサーバーから命令を受け取るため、当局はサーバーを特定・押収するなどして停止させる。

iWormはこれを避けるため、掲示板redditから最新サーバーのリスト一覧を取得することで、絶えずコントロールサーバーを隠すようにしている。

Doctor Webの解析によると、redditの検索機能を利用して、「現在の日付のMD5ハッシュの最初の8バイトの16進数の値」を検索すると、最新のコントロールサーバーのIPアドレスとポート番号のリストを取得できるようにしているという。現在、これに悪用されたMinecraftサーバー関連の掲示板は停止されているようだ。

これについてセキュリティ研究者のGraham Cluley氏は、redditがiWormの感染を広げているわけではなく、単に感染させたMacボットネットと通信するためのプラットフォームとして利用しているに過ぎず、今後、Twitterなど他のサービスも同様に利用される可能性があることを指摘した。

(INTERNET Watchの記事を抜粋)

確認方法及び対策

感染しているか確認するには、以下のディレクトリできていないか確認すれば大丈夫です

  1. Finderを起動します
  2. メニューより「フォルダへ移動」を選択します
  3. 「/Library/Application Support/JavaW」と入力しします

もしもフォルダがあれば

以下のファイル・ディレクトリを削除して下さい。無料でいいのでウイルスソフトも導入してくださいね

 

  • /Library/Application Support/JavaW/JavaW
  • /Library/LaunchDaemons/com.JavaW.plist

 

余談ですが、筆者は「アバスト! 無料アンチウイルス for Mac」のウイルスソフトを使用しています