Mac OS XバックドアiWorm 世界1万7千台感染のボットネット
世界約1万7千台のMac OS Xに感染してるボットネットを2014年9月に発見した、とロシアのセキュリティ会社 Docter Web が報告してます。 <感染経路は???
● 発見された新たなMac OS Xボットネット (Docter Web)
http://news.drweb.co.jp/show/?i=784
● Mac.BackDoor.iWormに関する詳細 (Docter Web)
http://news.drweb.co.jp/show/?i=785
● OSX/iWorm-A - Viruses and Spyware (Sophos)
http://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/OSX~iWorm-A/
9月26日時点で、感染マシンの地理的な位置はIPアドレスより上位は米国(約4,600台)、カナダ(約1,200台)、英国(約1,200台)。
その他にスペイン、フランス、オランダ、ブラジル、オーストラリア、スウェーデン、メキシコ、ロシアといったところが挙げられてます。
VirusTotalウイルススキャン より iWorm関連ファイル
> www.virustotal.com/ja/file/1fb2ffb9f958bf5561d726abae9a715674e73aa3b26bd544151b59dc140e53f9/analysis/1408103357/ (ffebeca75bf0479168df3485d832779c)
> www.virustotal.com/ja/file/0b374d3dfd2fcae65d191dd1810cd8cc0b497c48b509f260654b0f3fe4cc9f8f/analysis/1410011287/ (5b904bffff937bee97439869af103989)
> www.virustotal.com/ja/file/ab2c77b8131deffe74b819208286ce8ff081a685674375e7513f871c673dbd52/analysis/1409988149/ (b760f9652ee4069e69f8f67597f8b91b)
> www.virustotal.com/ja/file/d8a313afd2789b853b05cb897871ae4438170216e9ea5d4060670065e7ec34e5/analysis/1410011255/ (4b82994bcbaf88da5cb7bb99a622c014)
> www.virustotal.com/ja/file/0b374d3dfd2fcae65d191dd1810cd8cc0b497c48b509f260654b0f3fe4cc9f8f/analysis/1410011287/ (5b904bffff937bee97439869af103989)
> www.virustotal.com/ja/file/ab2c77b8131deffe74b819208286ce8ff081a685674375e7513f871c673dbd52/analysis/1409988149/ (b760f9652ee4069e69f8f67597f8b91b)
> www.virustotal.com/ja/file/d8a313afd2789b853b05cb897871ae4438170216e9ea5d4060670065e7ec34e5/analysis/1410011255/ (4b82994bcbaf88da5cb7bb99a622c014)
《ウイルス検出名例》
AVG OSX/iWorm.A OSX/Generic_c.DW
avast! MacOS:IWorm-A MacOS:IWorm-B
Avira MACOS/IWorm.A MACOS/Drop.Agent
BitDefender Mac.OSX.iWorm.A Mac.OSX.iWorm.B
Dr.Web Mac.BackDoor.iWorm
ESET OSX/TrojanDropper.Iservice.A OSX/Iservice.AG
Kaspersky Trojan-Dropper.OSX.Agent.c Backdoor.OSX.iWorm.f Backdoor.OSX.iWorm.g
Sophos OSX/iWorm-A OSX/Agent-AIAD
+
ClamAV Osx.Worm.iworm
F-Secure Trojan-Dropper:OSX/Iworm
Symantec OSX.Luaddit
[4日 追記...]
Appleのフォーラムより iWorm 感染被害者?
● mac.backdoor.iworm (Apple Support Communities)
https://discussions.apple.com/thread/6578425
ちなみに、このバックドアはボットネットを運用するC&C用のURLアドレスとして reddit に投稿されたデータを取得してたとのことだけど、悪用されてた該当ページは運営から凍結済み。
Googleキャッシュに残ってたページ
いちおう名目上では minecraftserverlists (マインクラフト サーバーリスト)になってるん。
[4日 追記...]
iWorm感染ルートの1つ…
ファイル共有ソフト BitTorrent 上のネットワークで垂れ流されてた Adobe Illustrator、Adobe Photoshop、Parallels Desktop、Microsoft Office の海賊版インストーラ!
[5日 追記...]
Mac OS X のウイルス検知システム XProtect の定義データが更新され iWorm が対応されるー。
OSX.iWorm.A OSX.iWorm.B OSX.iWorm.C
> configuration.apple.com/configurations/macosx/xprotect/3/clientConfiguration.plist