先日こんな記事がMacユーザーの間で駆けまわりました。
▼60万台以上の「Mac」がトロイの木馬「Flashback」に感染か (CNET Japan) – Yahoo!ニュース
CNET Japan 4月5日(木)16時21分配信
あるロシアのアンチウイルス企業によると、50万台以上の「Macintosh(Mac)」が「Flashback」と呼ばれるトロイの木馬に感染しているという。Flashbackは、個人情報を盗むことを目的とするマルウェアパッケージだ。Dr. Webというその企業は現地時間4月4日に行った独自の報告で、55万台のMacコンピュータが、拡大を続けるそのMacボットネットに感染していることを明かした。しかし、その日のうちに、Dr. WebのマルウェアアナリストであるSorokin Ivan氏は、Flashbackに感染したMacの台数が60万にまで増加し、そのうちの274台はカリフォルニア州クパチーノにあることをTwitterで発表した。
感染したMacの半分以上(57%)が米国にあり、20%はカナダにある、とDr. Webは述べている。
Flashbackが最初に発見されたのは2011年9月のことで、「Adobe Flash Player」プラグインインストーラになりすましていた。しかし、ここ数カ月で同マルウェアは進化を遂げており、Javaの脆弱性を悪用してMacシステムを標的にするようになった。先週末に登場した新たな変種は、Appleが4月3日にパッチをリリースしたJavaの脆弱性を利用しているようだ。
via: 60万台以上の「Mac」がトロイの木馬「Flashback」に感染か (CNET Japan) – Yahoo!ニュース
古参なMacユーザーですが、現在のように巷にアップル製品が溢れているような現状では、遅かれ早かれこういう事態が起こっても不思議ではないと考えていました。
とはいえ、ウイルス対策という点では、ClamXavくらいしか入れてないという現状です。
ClamXav (Version 2.2.4) | ||
カテゴリ: | ユーティリティ | |
価格: | 無料 | |
デベロッパ名: | Mark Allan | |
リリース日: | 2011/07/12 | |
対応デバイス: | 無し | |
現Ver.の平均評価: | (4.5 / 4件の評価) | |
通算の平均評価: | (4.0 / 29件の評価) | |
Game Center: | 非対応 |
とりあえず、「トロイの木馬」に感染しているかどうかだけでも調べておいて、損はなさそうです。
調べ方ですが、Terminalを使う方法とTerminalを直接使わない方法とがあります。
Terminalを使う方法
基本的にはTerminalを使ったほうがいいかと思います。
「アプリケーション」/「ユーティリティー」フォルダ内にある「ターミナル.app」を起動して、以下の3つのコマンドを入力(コピペでOK)。
(1)のパターン
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
(2)のパターン
defaults read /Applications/Firefox.app/Contents/Info LSEnvironment
(3)のパターン
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
上記ののコマンドに対して次のコメントが返ってきたら、感染はしていないということ。
(1)のパターンのOKな返事
The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist
(2)のパターンのOKな返事
The domain/default pair of (/Applications/Firefox.app/Contents/Info, LSEnvironment) does not exist
(3)のパターンのOKな返事
The domain/default pair of (/Users/ユーザ名/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist
もし上記のコメントが戻ってこなかった場合、Flashbackに感染している可能性があるということになります。
ではどうするか。
上の(1)のパターンのコマンドでコメントが返ってこなかった場合、
以下のコマンドを入力する。
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
(2)のパターンのコマンドでコメントが返ってこなかった場合、
以下のコマンドを入力する。
defaults read /Applications/Firefox.app/Contents/Info LSEnvironment
(3)のパターンでコメントが帰ってこなかった場合は、まず、次のコマンドを実行。
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
感染している場合は、「DYLD_INSERT_LIBRARIES = 」という文字列の後にファイルパス(ファイルの階層情報)が表示されるので、メモしておく。
その上で下記のコマンドを実行する。
grep -a -o ‘__ldpath__[ -~]*’ (半角スペースの後に見つかったファイルパスを記述)
さらに、次のそれぞれ2行のコマンドも実行してウイルスファイルを除去します。
(1)のパターンの場合は
sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment
sudo chmod 644 /Applications/Safari.app/Contents/Info.plist
(2)のパターンの場合は
sudo defaults delete /Applications/Firefox.app/Contents/Info LSEnvironment
sudo chmod 644 /Applications/Firefox.app/Contents/Info.plist
(3)のパターンの場合は
defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
launchctl unsetenv DYLD_INSERT_LIBRARIES
Terminalを直接使わない方法
Terminalはなんかちょっと難しそう・・・・
という方にはアプリケーションを使う方法があります。
(Terminalでやることをアプリ化したものです)
▼トロイの木馬「Flashback」に感染していないか確認『Anti Flashback-Trojan』 | Macの手書き説明書
アプリのダウンロードはこちらから。
▼Moritz Wette – Developer Website
上部の「Anti Flashback-Trojan」をクリックするとダウンロードが始まります。
これはとりあえず、感染ファイルがあるかどうかを調べるだけですので、
感染ファイルが見つかった場合、駆除するにはTerminalを使いましょう。
個人的にはそろそろESETを入れたいところ・・・。
▼ESET Cybersecurity(イーセット サイバーセキュリティ) | ウイルスからMacを守るウイルス対策ソフト
FlashbackはJavaの脆弱性を狙って動作するらしいので、ソフトウェアアップデートも忘れずに。
皆さま、お気をつけくださいませ。
参考サイト:
▼60万台以上が感染しているトロイの木馬「Flashback」に感染しているか調べる方法 | Macの手書き説明書
▼Mac Fan.jp:トロイの木馬「Flashback」に感染しているかを調べたい
▼エフセキュアブログ : 目下のMacマルウェア
▼エフセキュアブログ : (Mac)Flashbackはあるか?
売り上げランキング: 99
売り上げランキング: 3182
売り上げランキング: 150
九天社
売り上げランキング: 884830
ボーンデジタル
売り上げランキング: 1040594
技術評論社
売り上げランキング: 180793