OSX.Trojan.PokerStealer
海外のサイトでは、20日に「トロイの木馬」が発見されたことが各所で書かれていました。
- Watch out for PokerGame trojan - The Unofficial Apple Weblog (TUAW)
- Flaw in Apple Remote Desktop exploited via trojan
ようやく、日本でも紹介され始めたようです。
Mac OS X用スクリプト言語AppleScriptで記述されたコンパイル済みファイル「ASthtv05」(ファイル・サイズは60Kバイト)またはアプリケーション・ソフトウエア「AStht_v06」(同3.1Mバイト)の形態をとっており,ユーザーがMacintoshにダウンロードして開くと感染する。動き出すと「/Library/Caches/」フォルダに移動して身を隠し,OS起動時に自動実行されるよう自らを「System Login Items」として登録する。ファイアウォールにポートを設け,システムのログ記録機能を停止し,検出されることを防ぐ。
感染したMacintoshのSecure Shell(ssh)機能を有効化することで遠隔操作可能な状態にし,IPアドレスとシステム/ユーザーのパスワードを外部に送信する。キーロガー機能,Macintosh内蔵カメラ「iSight」による撮影,スクリーンショット取得,ファイル共有といった機能も備える。Integoによると,「A corrupt preference file has been detected and must be repaired.」(環境設定ファイルが壊れているので修復が必要です)というメッセージを出し,管理者パスワードの入力を求めるという。
「Mac OS X 10.4/10.5」を乗っ取るトロイの木馬が出現,セキュリティ・ベンダーの警告 | 日経 xTECH(クロステック)
すでに複数の亜種が存在しているとも書かれていますので、注意が必要です。
macosxhintsでは、対処する方法が紹介されていますが、ディスクユーティリティーでアクセス権の修復をすると元に戻るので、Appleの素早い対処に期待してます。