【Mac】トロイの木馬「Flashback」に感染しているかどうかを調べて、疑いのあるファイルを除去する方法

Trojan Horse
Trojan Horse / good_keiran

先日こんな記事がMacユーザーの間で駆けまわりました。
60万台以上の「Mac」がトロイの木馬「Flashback」に感染か (CNET Japan) – Yahoo!ニュース

CNET Japan 4月5日(木)16時21分配信


 あるロシアのアンチウイルス企業によると、50万台以上の「Macintosh(Mac)」が「Flashback」と呼ばれるトロイの木馬に感染しているという。Flashbackは、個人情報を盗むことを目的とするマルウェアパッケージだ。

 Dr. Webというその企業は現地時間4月4日に行った独自の報告で、55万台のMacコンピュータが、拡大を続けるそのMacボットネットに感染していることを明かした。しかし、その日のうちに、Dr. WebのマルウェアアナリストであるSorokin Ivan氏は、Flashbackに感染したMacの台数が60万にまで増加し、そのうちの274台はカリフォルニア州クパチーノにあることをTwitterで発表した。

 感染したMacの半分以上(57%)が米国にあり、20%はカナダにある、とDr. Webは述べている。

 Flashbackが最初に発見されたのは2011年9月のことで、「Adobe Flash Player」プラグインインストーラになりすましていた。しかし、ここ数カ月で同マルウェアは進化を遂げており、Javaの脆弱性を悪用してMacシステムを標的にするようになった。先週末に登場した新たな変種は、Appleが4月3日にパッチをリリースしたJavaの脆弱性を利用しているようだ。

via: 60万台以上の「Mac」がトロイの木馬「Flashback」に感染か (CNET Japan) – Yahoo!ニュース

古参なMacユーザーですが、現在のように巷にアップル製品が溢れているような現状では、遅かれ早かれこういう事態が起こっても不思議ではないと考えていました。
とはいえ、ウイルス対策という点では、ClamXavくらいしか入れてないという現状です。

ClamXav (Version 2.2.4) App
カテゴリ: ユーティリティ
価格: 無料
デベロッパ名: Mark Allan
リリース日: 2011/07/12
対応デバイス: 無し
現Ver.の平均評価: (4.5 / 4件の評価)
通算の平均評価: (4.0 / 29件の評価)
Game Center: 非対応
 

とりあえず、「トロイの木馬」に感染しているかどうかだけでも調べておいて、損はなさそうです。

調べ方ですが、Terminalを使う方法とTerminalを直接使わない方法とがあります。

Terminalを使う方法

基本的にはTerminalを使ったほうがいいかと思います。
「アプリケーション」/「ユーティリティー」フォルダ内にある「ターミナル.app」を起動して、以下の3つのコマンドを入力(コピペでOK)。

(1)のパターン
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
(2)のパターン
defaults read /Applications/Firefox.app/Contents/Info LSEnvironment
(3)のパターン
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

上記ののコマンドに対して次のコメントが返ってきたら、感染はしていないということ。
(1)のパターンのOKな返事
The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist
(2)のパターンのOKな返事
The domain/default pair of (/Applications/Firefox.app/Contents/Info, LSEnvironment) does not exist
(3)のパターンのOKな返事
The domain/default pair of (/Users/ユーザ名/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist

もし上記のコメントが戻ってこなかった場合、Flashbackに感染している可能性があるということになります。

ではどうするか。

上の(1)のパターンのコマンドでコメントが返ってこなかった場合、
以下のコマンドを入力する。
defaults read /Applications/Safari.app/Contents/Info LSEnvironment

(2)のパターンのコマンドでコメントが返ってこなかった場合、
以下のコマンドを入力する。
defaults read /Applications/Firefox.app/Contents/Info LSEnvironment

(3)のパターンでコメントが帰ってこなかった場合は、まず、次のコマンドを実行。
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

感染している場合は、「DYLD_INSERT_LIBRARIES = 」という文字列の後にファイルパス(ファイルの階層情報)が表示されるので、メモしておく。
その上で下記のコマンドを実行する。
grep -a -o ‘__ldpath__[ -~]*’ (半角スペースの後に見つかったファイルパスを記述)

さらに、次のそれぞれ2行のコマンドも実行してウイルスファイルを除去します。

(1)のパターンの場合は
sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment
sudo chmod 644 /Applications/Safari.app/Contents/Info.plist

(2)のパターンの場合は
sudo defaults delete /Applications/Firefox.app/Contents/Info LSEnvironment
sudo chmod 644 /Applications/Firefox.app/Contents/Info.plist

(3)のパターンの場合は
defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
launchctl unsetenv DYLD_INSERT_LIBRARIES

Terminalを直接使わない方法

Terminalはなんかちょっと難しそう・・・・
という方にはアプリケーションを使う方法があります。
(Terminalでやることをアプリ化したものです)

トロイの木馬「Flashback」に感染していないか確認『Anti Flashback-Trojan』 | Macの手書き説明書

アプリのダウンロードはこちらから。
Moritz Wette – Developer Website

上部の「Anti Flashback-Trojan」をクリックするとダウンロードが始まります。
これはとりあえず、感染ファイルがあるかどうかを調べるだけですので、
感染ファイルが見つかった場合、駆除するにはTerminalを使いましょう。

個人的にはそろそろESETを入れたいところ・・・。

ESET Cybersecurity(イーセット サイバーセキュリティ) | ウイルスからMacを守るウイルス対策ソフト

FlashbackはJavaの脆弱性を狙って動作するらしいので、ソフトウェアアップデートも忘れずに。
皆さま、お気をつけくださいませ。

参考サイト:
60万台以上が感染しているトロイの木馬「Flashback」に感染しているか調べる方法 | Macの手書き説明書
Mac Fan.jp:トロイの木馬「Flashback」に感染しているかを調べたい
エフセキュアブログ : 目下のMacマルウェア
エフセキュアブログ : (Mac)Flashbackはあるか?

ESET NOD32アンチウイルス V5.0 Windows/Mac対応
キヤノンITソリューションズ (2011-12-15)
売り上げランキング: 99
Kaspersky Anti-Virus for Mac 1年版
ジャストシステム (2009-11-13)
売り上げランキング: 3182
ノートンインターネットセキュリティMac版 2万本限定
シマンテック (2011-10-21)
売り上げランキング: 150
Mac OS Xの薬箱―トラブル回避のテクニックとセキュリティ対策
小原 裕太
九天社
売り上げランキング: 884830
Mac OS X システム管理リファレンス (Appleトレーニングシリーズ)
Schoun Regan
ボーンデジタル
売り上げランキング: 1040594
はじめてのMac100%入門ガイド (技評ベストムック)
小原 裕太
技術評論社
売り上げランキング: 180793

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください