2006年2月16日、米国テキサス州オースチン
INTEGO セキュリティ・アラート
トロイの木馬、OOMPA-LOOMPAによる真の脅威
Macユーザが自らをOompa-Loompa(別名Osx/Oomp-AあるいはLeap.A)から守るためのQ&A
トロイの木馬、Oompa-Loompa(別名はOSX/Oomp-AあるいはLeap.A)の発見以来、Integoでは、Macユーザに対する危険のレベルを判断するために、ネット上で見つかったこのトロイの木馬のオリジナルと二種類の亜種を分析してきました。本書類では、このトロイの木馬がどのように動作するのか、どうやって他のユーザへ感染するのか、そしてMacユーザはどうやって自らを守ればよいのか、を説明します。現時点では、このトロイの木馬とその亜種への最善の対策は、すべての既知のウイルスからの保護を提供するIntego VirusBarrier X4です。IntegoのCEOであるローレン・マートゥは、「Macintoshコンピュータにおけるアンチウイルス・ソフトウェアが、車におけるシートベルトと同じくらいに重要であることが明白になりました。必要になって、その重要性が認識された時から準備したのでは、遅いということなのです」と語っています。
Integoは、先週頭にこのトロイの木馬を最初に発見し、VirusBarrier XおよびVirusBarrier X4ユーザを保護するために、2006年2月14日にはウイルス定義ファイルを更新しました。このトロイの木馬をネット上で発見すると同時に対応をしたわけですが、その危険についてその場では公表はしないことにしました。発表すれば、ハッカーが動作の異なる亜種を作成するきっかけを与えることになる可能性があったからです。実際、このトロイの木馬の情報が公になると、二種類の亜種が世の中に出てきました。このトロイの木馬は、今のところ、アプリケーションを壊し、ローカルのBonjourネットワーク経由でiChatを介して他のユーザへ自身を転送するだけですが、将来の亜種はさらなる破壊を行う力を持つ可能性は否定できません。
IntegoのVirus Monitoring Centerは、オリジナルのトロイの木馬とその亜種を分析し、以下の通り、このトロイの木馬がどう動作し、どのようにMacintoshコンピュータに感染し、どうやって繁殖するのか、そしてMacユーザが自らをどのように守ればよいかをまとめました。
* * *
トロイの木馬、Oompa-Loompaとは何ですか?
Oompa-Loompa、あるいは別名でOSX/Oomp-AまたはLeap.Aと呼ばれるトロイの木馬は、Mac OS Xを実行するMacintoshコンピュータを対象とします。Oompa-Loompaトロイの木馬は、実行されたコンピュータ上のアプリケーションに感染し、それらのアプリケーションにウイルスを拡散させ、自身をローカルのBonjourネットワーク経由で、そのユーザのiChatメンバーリストへ転送して繁殖します。
このトロイの木馬からどうやってMacユーザは自らを守ればいいのでしょう?
Intego VirusBarrier XとVirusBarrier X4は、2006年2月14日以降の日付のウイルス定義ファイルを使うことで、Oompa-Loompaトロイの木馬を駆除することができます。また VirusBarrier XおよびVirusBarrier X4は、同じ仕組みを使う将来のトロイの木馬にも対応します。
このトロイの木馬には、複数の種類があるのですか?
Intego Virus Monitoring Centerでは、いまのところこのトロイの木馬の3種類のバージョンを隔離しました。そして、他には亜種がないことを確認できるまで、疑わしい動作がないか監視を続けています。
このトロイの木馬はどんなものですか?
まずlatestpics.tgzあるいはlatestpics.gzという名前の圧縮ファイルの状態で発見されました。圧縮を解凍すると、画像ファイルの状態になります。しかし、他のハッカーが現在のバージョンを改造したら、ファイルは別名で、別のファイルタイプになっているかも知れません。
このトロイの木馬は、どうすると発効するのですか?
ユーザは、このファイルを、まずウェブサイトからダウンロードするか、電子メールに添付されるか、ローカルのBonjourネットワーク上のメンバーからiChat経由で受け取ることになります。最後の場合、“送信元”はファイルが送信されたことに気付いていないわけですが、ユーザは信頼できる相手からのファイル送信と判断する可能性が高いでしょう。すると、ユーザはファイルをダブルクリックして解凍し、カスタムアイコンを使って画像ファイルに偽装されたトロイの木馬をダブルクリックしてしまうでしょう。ここまで来ると発効します。
このトロイの木馬は、管理者パスワードを要求されることで発見できますか?
いいえ。このトロイの木馬は、Terminalウインドウ内でスクリプトを実行しますが、それ以外にその動作の兆候は見せません。ユーザがrootとしてログインしていればシステムフォルダに感染しますが、でなければ現在のユーザのホームフォルダに感染するため管理者パスワードは要求されません。前者の場合は、あまりないケースですが、rootとしてログインしているユーザはシステムフォルダにファイルをインストールするためにパスワードを入力する必要がありません。そして後者の場合、ユーザのホームフォルダにファイルを追加するのでパスワードは不要なのです。
このトロイの木馬は、Mac OS Xシステムに感染しますか?
解凍されたファイルをユーザが画像ファイルだと思ってダブルクリックすると、ファイル内の実行コードが起動します:Terminalウインドウが開き、実行された処理が表示され、exitされます。この過程で、Oompa-Loompaトロイの木馬がユーザのMacの二カ所にインストールされます。トロイの木馬は、まず自身を/tmpフォルダ(一時ファイルを保管するため)にコピーすると共に、ユーザがCocoaアプリケーションを起動したらその中に自身の複製を作るためにapphook.bundleというファイルをInputManagersフォルダ(ユーザのライブラリフォルダ内にあります)内にインストールします。ユーザがrootとしてログインしている場合は、トロイの木馬はシステムレベルの/ライブラリ/InputManagersフォルダにインストールされます。
トロイの木馬は、Spotlightを使って、最近使った4つのアプリケーションを検索し、それらに自身のコードを感染させます。またユーザがBonjour(ローカル)ネットワークにログインしていると、apphook.bundle Input Managerがオリジナルファイルであるlatestpics.tgzのコピーを、ユーザのiChatメンバーリスト内の全メンバーに転送しようとします。この場合、ファイルが友達や同僚から送られてきますから、受け取ったメンバーはファイルが安全と思い、まず解凍するためにダブルクリックし、続いて“表示”するために再度ダブルクリックするでしょう。またユーザが感染したアプリケーションを起動すると、Oompa-Loompaコードは、さらに感染先とするためのアプリケーションを探します。
これはトロイの木馬ですか、ウイルスですが、ワームですか?
これは、以下の3種類のマルウェアの複合したものだと言えます:
1. まず、ユーザが間違って開いてしまうように、画像ファイルに偽装されたファイル内に実行コードが隠されていますのでトロイの木馬です。これがユーザとこのマルウェアとの最初の接触でもあります。
2. 次にユーザのコンピュータ上の他のアプリケーションを壊して自身のコードを追加することで、そうしたアプリケーション内に自身を複製するのでウイルスです。
3. 最後に、iChat経由でたのユーザに自身のコピーを転送使用する部分はワームです。こうして、ファイルを受け取ったユーザにとっては、これはまたトロイの木馬となるのです。
信用できない場所からファイルをダウンロードするということはリスクを伴うのに、そうしたユーザは必要なセキュリティ対策を怠っていると言われます。これがOompa-Loompaトロイの木馬が拡散する仕組みですか?
必ずしもそうではないでしょう。ユーザがインターネットで利用可能な膨大な情報に自由にアクセスするには、有効なセキュリティソフトウェアで保護対策を行うことがもちろん必須です。ユーザにダウンロードしないように勧めるのは、多くのおプログラムや情報が提供されるインターネットの価値を半減させることですから。しかし、このトロイの木馬はBonjourネットワーク上のiChat経由で拡散するので、ユーザは以前にもファイルを同じ送信元から受け取っているでしょう。多くの会社では、インスタントメッセージを頻繁に使っていて、同僚からファイルを受け取ることも珍しくありません。
Integoは、どこでこのトロイの木馬を見つけたのですか?
Integoでは、IntegoユーザがMacintoshフォーラムの一つで見つけたこのトロイの木馬のコピーを、2006年2月14日に受け取りました。ユーザは、これが新しいオペレーティングシステムの未公開の画像だと思いましたが、代わりに自身のMacを感染させてしまいました。彼は、その後、同じローカルネットワーク上のiChatメンバー達から、なぜ彼が同僚にファイルを送っているのか尋ねられて、その事実に気付いたのです。また彼のアプリケーションのいくつかは、起動しなくなっていました。
Integoは、Appleにこのトロイの木馬を報告しましたか?
はい、このトロイの木馬を分析し、その危険を認識するや、Appleに報告しました。我々は、このトロイの木馬のサンプルを提供した最初のセキュリティメーカであり、このトロイの木馬が可能な限り迅速に制御可能な状態に置かれるようにAppleと密に連絡を取り合っています。
Integoは、このトロイの木馬の動作に興味を持つユーザに、そのサンプルを提供しますか?
いいえ。Integoの役割は、ユーザを守ることで、マルウェアを拡散させることではありません。Appleや他のセキュリティ会社にファイルを送ることはあっても、その他の誰にもファイルを送ることはありません。
このトロイの木馬は、ファイルを削除しますか?
いいえ、今のところ、アプリケーションに感染し、Bonjourネットワーク上のiChat経由で他のメンバーに自身を送るだけです。ただし、他のハッカーがこのトロイの木馬をファイル削除のために改造する可能性は拭えません。
このトロイの木馬は、Mac OS X システムファイルに影響しますか?
いいえ、少なくとも現在のバージョンでは、アプリケーションにだけ影響します。
このトロイの木馬は、Mac OS 9あるいはMac OS Xの以前のバージョンに影響しますか?
いいえ、Mac OS X 10.4 (Tiger) にだけ影響します。
このトロイの木馬は、新しいIntelプロセッサを搭載するMacintoshに影響しますか?
Intelプロセッサを搭載するMacでは、このトロイの木馬はRosettaエミュレーションで実行され、アプリケーションには感染しますが、iChat経由で拡散することはありません。
Oompa-Loompaトロイの木馬についてのさらなる詳細は、関連プレスリリースを参照してください:http://www.intego.com/jp/news/pressroom.html
Integoについて
Integoは、Macintosh用のデスクトップ・インターネット・セキュリティおよび個人情報保護ソフトウェアを開発および販売しています。
Integoは、インターネットの危険からユーザとそのMacを守るあらゆる範囲のソフトウェアを提供しています。Integoの多言語対応のソフトウェアとサポートは、多くのMac関連誌から褒賞され、60以上の国で百万人以上のユーザを守り続けています。Integoは、米国、フランス、日本に事務所を設置しています。
インターネットの危険が増大する現在、Integoは、最新のセキュリティおよび個人情報に対する脅威から、ユーザとそのMacを守る新しいソフトウェアを開発するために日々尽力しています。
We protect your world.
# # # #
|
