 写真●トロイの木馬が仕込まれたポーカー・ゲーム・アプリケーション [画像のクリックで拡大表示] |
SecureMacによると,このトロイの木馬は最近見つかった「Apple Remote Desktop Agent」に存在するセキュリティ・ホールを悪用してMac OS X 10.4/10.5に感染し,管理者権限で作動するという。Macintoshを遠隔操作されたり,パスワードを盗まれたりする恐れがある。
Mac OS X用スクリプト言語AppleScriptで記述されたコンパイル済みファイル「ASthtv05」(ファイル・サイズは60Kバイト)またはアプリケーション・ソフトウエア「AStht_v06」(同3.1Mバイト)の形態をとっており,ユーザーがMacintoshにダウンロードして開くと感染する。動き出すと「/Library/Caches/」フォルダに移動して身を隠し,OS起動時に自動実行されるよう自らを「System Login Items」として登録する。ファイアウォールにポートを設け,システムのログ記録機能を停止し,検出されることを防ぐ。
感染したMacintoshのSecure Shell(ssh)機能を有効化することで遠隔操作可能な状態にし,IPアドレスとシステム/ユーザーのパスワードを外部に送信する。キーロガー機能,Macintosh内蔵カメラ「iSight」による撮影,スクリーンショット取得,ファイル共有といった機能も備える。Integoによると,「A corrupt preference file has been detected and must be repaired.」(環境設定ファイルが壊れているので修復が必要です)というメッセージを出し,管理者パスワードの入力を求めるという。
同トロイの木馬には複数の亜種が存在し,現在あるハッカーのWebサイトで配布されている。同サイトでは,Mac OS X用インスタント・メッセージング(IM)ソフトウエア「iChat」やPtoPネットワーク「Limewire」経由での配布が議論されているという。
[発表資料(SecureMac)へ]
[発表資料(Intego)へ]
