2008/06/23
ITpro

記事一覧へ >>

写真●トロイの木馬が仕込まれたポーカー・ゲーム・アプリケーション [画像のクリックで拡大表示]

　Macintosh向けセキュリティ製品を手がける米SecureMacと米Integoはそれぞれ米国時間2008年6月20日，Mac OS Xに感染するトロイの木馬が出回っていると警告した。SecureMacは「AppleScript.THT」，Integoは「OSX.Trojan.PokerStealer」と命名し，注意を呼びかけている。

　SecureMacによると，このトロイの木馬は最近見つかった「Apple Remote Desktop Agent」に存在するセキュリティ・ホールを悪用してMac OS X 10.4/10.5に感染し，管理者権限で作動するという。Macintoshを遠隔操作されたり，パスワードを盗まれたりする恐れがある。

　Mac OS X用スクリプト言語AppleScriptで記述されたコンパイル済みファイル「ASthtv05」（ファイル・サイズは60Kバイト）またはアプリケーション・ソフトウエア「AStht_v06」（同3.1Mバイト）の形態をとっており，ユーザーがMacintoshにダウンロードして開くと感染する。動き出すと「/Library/Caches/」フォルダに移動して身を隠し，OS起動時に自動実行されるよう自らを「System Login Items」として登録する。ファイアウォールにポートを設け，システムのログ記録機能を停止し，検出されることを防ぐ。

　感染したMacintoshのSecure Shell（ssh）機能を有効化することで遠隔操作可能な状態にし，IPアドレスとシステム／ユーザーのパスワードを外部に送信する。キーロガー機能，Macintosh内蔵カメラ「iSight」による撮影，スクリーンショット取得，ファイル共有といった機能も備える。Integoによると，「A corrupt preference file has been detected and must be repaired.」（環境設定ファイルが壊れているので修復が必要です）というメッセージを出し，管理者パスワードの入力を求めるという。

　同トロイの木馬には複数の亜種が存在し，現在あるハッカーのWebサイトで配布されている。同サイトでは，Mac OS X用インスタント・メッセージング（IM）ソフトウエア「iChat」やPtoPネットワーク「Limewire」経由での配布が議論されているという。

[発表資料（SecureMac）へ]
[発表資料（Intego）へ]