トロイの木馬「Flashback」のチェック・ツール

このエントリーをはてなブックマークに追加
1名称未設定
http://www.computerworld.jp/topics/563/202134/

 先週、ロシアのアンチウィルス・ベンダーが「60万台を超えるMacが感染している」と報告したトロイの木馬「Flashback」の新種に関して、
あるMacプログラマーが無料の感染チェッカー・ツールをリリースした。
 FlashbackはMac OSを狙ったマルウェアの一種で、2011年9月に初めて確認された。以前のFlashbackはソーシャル・エンジニアリング
を用いてユーザーを騙し感染させるものだったが、今回の新たな亜種はユーザーを一切介さず、Javaの脆弱性を突いて感染を広げる。
セキュリティ・ベンダー、Dr.Webによれば、感染しているMacの割合はおよそ2%である。
 チェッカー・ツール「FlashbackChecker」を開発したプログラマー、ユアン・レオン(Juan Leon)氏によると、このツールはMac上にFlashback
マルウェアの痕跡がないかどうかを調べるものだ。これまでに発見されているFlashbackの亜種すべてをチェック可能だという。
 レオン氏は、フィンランドF-SecureがWebサイト上で公開しているコマンドラインを使った感染チェック方法をGUIツール化したという。
メール・インタビューに答えたレオン氏は、「Macユーザーたちがコマンドラインと格闘していたから」このツールを作ったのだという。
 使い方は単純だ。ダウンロードしたアプリを起動すると、ウィンドウには「Check for Flashback Infection」というボタンが表示される。
これをクリックすると、感染チェックが始まる。
 チェックした結果が「No Signs of infection were found」(感染の兆候なし)ならば安心してほしい。万が一感染していれば、その旨の
警告が表示される。このツールはFlashbackの駆除機能は備えていないが、駆除のための方法が示される。

https://github.com/jils/FlashbackChecker/wiki
2名称未設定:2012/04/10(火) 23:09:45.13 ID:rmmqonJM0
このツールがトロイの木馬とか可能性はないのかね
3名称未設定:2012/04/11(水) 00:35:11.20 ID:kUiMJFjn0
ターミナルからコマンド打って確認とる方法をAutomatorに登録する手順だけ公開すれば良かったんじゃないのか?
4名称未設定:2012/04/11(水) 00:38:10.37 ID:SjDniNWG0
バスターさん入れてても効果なし?
5名称未設定:2012/04/11(水) 01:22:00.41 ID:Hddvk8nq0
最近Macでの感染ルート第一位は偽のウイルスチェックツールだったような…
「あなたは感染しています!今すぐ駆除ソフトをDLしてください!」みたいダイヤログ出て、
ユーザーにインスコさせるの。
6名称未設定:2012/04/11(水) 02:08:11.70 ID:UJYRcq8+0
まあターミナル使えばいいんだけど
ターミナル使えるような香具師が罹るわけないからなー
てか大袈裟に騒いでるだけでいないっしょ?感染者なんて
7名称未設定:2012/04/11(水) 10:13:36.97 ID:fyjTtfMVP
ステマの一種かも
8名称未設定:2012/04/11(水) 10:55:13.53 ID:XPUFUNMiP
Macセキュリティスレ Part.11
http://anago.2ch.net/test/read.cgi/mac/1325485653/
9名称未設定:2012/04/11(水) 11:02:01.88 ID:Xq4V1tzV0
ターミナル使うまでもない。
参考: http://www.f-secure.com/v-descs/trojan-downloader_osx_flashback_k.shtml
1. Safariのパッケージを開いて、Contents/Info.plistをなんでもいいからテキストエディタで開き、
テキスト内を"LSEnvironment "で検索
→あったら感染確定で、3へ
2 . Finderの移動メニューからフォルダへ移動を選択、~/.MacOSXと入力
→あったら感染確定で、3へ
なければ感染してない。終了。
3. 少なくともClamXavは2012年4月9日時点で確認されているすべてのFlashBackに対応している
(ソース: http://www.gossamer-threads.com/lists/clamav/users/54700?do=post_view_threaded)
ので、これをインストールしてスキャン。
10名称未設定:2012/04/11(水) 11:04:06.06 ID:Xq4V1tzV0
>>9
>LSEnvironment
末尾の余白は削ってね。
11名称未設定:2012/04/11(水) 12:26:15.71 ID:Hddvk8nq0
感染してなかった。当然ですけどね。
12名称未設定:2012/04/11(水) 13:40:13.57 ID:WsWZFB480
感染してたら自慢していい
13名称未設定:2012/04/11(水) 14:57:13.49 ID:ZKL4yUYx0
>>9
デタラメを書くな。ちゃんと元記事を当たる様に。

~/.MacOSX/environment.plistは環境変数を記述するファイルだからあっても普通
Setting environment variables for user processes
http://developer.apple.com/library/mac/#qa/qa1067/_index.html
14名称未設定:2012/04/11(水) 19:08:58.70 ID:JHJhyw/g0
なんか口裂け女が出たみたいなノリになってるな。
15名称未設定:2012/04/11(水) 19:48:17.87 ID:zhxVl69j0
第1のタイプの感染
以下のコマンドをターミナルで実行します。
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
defaults read /Applications/Firefox.app/Contents/Info LSEnvironment
実行して以下のエラーメッセージが出た場合はそのPCは感染していません。
The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist
The domain/default pair of (/Applications/Firefox.app/Contents/Info, LSEnvironment) does not exist

第2のタイプの感染
以下のコマンドをターミナルで実行します。
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
実行して以下のようなエラーメッセージが表示されたら、そのMacは感染していません。
The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist
16名称未設定:2012/04/11(水) 19:49:18.81 ID:zhxVl69j0
上記のコマンドを試してエラーメッセージ以外が表示されたら、そのMacはFlashbackに感染しています。
以下の手順に従いFlashbackを除去しましょう。

1.第1のタイプの感染しているならば、
defaults read /Applications/%browser%.app/Contents/Info LSEnvironment
第2のタイプで感染しているならば
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
を実行。

2.1の結果から「DYLD_INSERT_LIBRARIES」の記述を探し指定されているファイルパスをメモする

3.2でメモしたファイルパスを%path_from_previous_step%に当てはめ、以下のコマンドを実行する
grep -a -o '__ldpath__[ -~]*' %path_from_previous_step%

4.結果からリストアップされたファイルパスをメモする。

5.2と4でメモしたファイルを削除する

6.第1のタイプの感染しているならば
sudo defaults delete /Applications/%browser%.app/Contents/Info LSEnvironment
sudo chmod 644 /Applications/%browser%.app/Contents/Info.plist
第2のタイプで感染しているならば
defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
launchctl unsetenv DYLD_INSERT_LIBRARIES
を実行する
ttp://veadardiary.blog29.fc2.com/blog-entry-3809.html
17名称未設定:2012/04/11(水) 22:28:48.92 ID:gmr63AK/0
LSEnvironmentなんて単語は無いし、.MacOSXなんてディレクトリも無い…
つまんない(>_<)
18名称未設定:2012/04/13(金) 01:53:20.02 ID:GMojiDRl0
OS XからJavaって完全に抜ける?
システム依存してる部分があるならあきらめるけど…
19名称未設定:2012/04/13(金) 08:07:38.81 ID:avrm49zw0
>>15
AppleScriptで実行ファイル作って配布してくれや。

頼むで
20名称未設定:2012/04/13(金) 08:52:17.06 ID:avrm49zw0
>>6
現在のMacユーザは、同時にUNIXユーザでもあるから、ターミナル使うなんて当たり前ですよ。
GUIで設定できない様なものをターミナルでやるなんて日常茶飯事ですから。
21名称未設定:2012/04/13(金) 14:10:20.02 ID:mNegEjaW0
>>20
当たり前てのはiMacとAirユーザーの九割がターミナル使いこなせるなら言ってもいい
実際にちゃんと理解して日常茶飯事使っているのは、多く見ても五割以下だろう
そんな難しいもんじゃないし使えた方が便利だけどな
あと>>19>>20で言ってることが矛盾してるが?何なんだ?
22名称未設定:2012/04/13(金) 18:38:13.65 ID:2LUkfjsV0
>>15
thx!簡単にチェックできたよ☆
23名称未設定:2012/04/13(金) 19:02:49.76 ID:aG0KkknP0
米Appleは4月12日(現地時間)、OS X Lion向けのJavaアップデート
「Java for OS X Lion 2012-003」とMac OS X 10.6向けの「Java for Mac OS X 10.6 アップデート8」を公開した。
このアップデートには、同社が予告していたMac OS Xを狙うマルウェア「Flashback」を検知・削除するツールのインストールが含まれる。

このアップデートにより、Flashbackの最も一般的な亜種が削除されるとしている。
また、Javaアプレットの自動実行を無効にするJavaのWebプラグインが含まれる。

Flashbackは2011年後半に出現して以降、ソーシャルメディアなどを使って感染先を広げてきたが、
2012年になってJavaの脆弱性を悪用するようになり、感染が拡大していた。

Appleは4月3日にFlashback対策を含むセキュリティアップデートを実施したが、
その翌日、ロシアのウイルス対策ソフトメーカーDoctor Webが、Flashbackが55万台以上のマシンに感染していると発表。
11日には米Symantecが感染規模は27万台に縮小したと発表した。

今回のアップデートにより、既に感染しているMacから、Flashbackの駆除が可能になる。

Appleは、JavaをインストールしているすべてのMacユーザーにアップデートの適用を勧めている。
なお、このアップデートはMac OS X 10.6より古いバージョンには対応しないため、
Symantecは古いバージョンのユーザーに対し、Javaを無効にするよう勧めている。
http://www.itmedia.co.jp/enterprise/articles/1204/13/news049.html

24名称未設定:2012/04/13(金) 19:30:06.62 ID:Wx9xGr7w0
アップデートこないんだけどみんなきたの?
25名称未設定:2012/04/13(金) 19:38:43.25 ID:Ea1YSBsFP
>>24
OSのバージョンは?
26名称未設定:2012/04/13(金) 20:23:04.12 ID:Wx9xGr7w0
Lion10.7.3です
27名称未設定:2012/04/13(金) 21:00:43.70 ID:7dKNP3mw0
>>24
来ないなら取りに行けばいい
28名称未設定:2012/04/15(日) 13:07:44.21 ID:zB0KKgUw0
>>15-16
ありd
非感染だった
29名称未設定:2012/04/16(月) 14:47:01.22 ID:wsrgwaB30
>>21
>実際にちゃんと理解して日常茶飯事使っているのは、多く見ても五割以下

5割スタートする必要もないだろ。
200人集めても1人か2人じゃないだろうか。
30名称未設定:2012/04/17(火) 13:12:02.33 ID:ECtYjlNX0
>>23
これってアップデートしたときに感染してたら「駆除しましたよ」って教えてくれるの?
31名称未設定:2012/04/17(火) 13:33:23.43 ID:w2qdJig50
>>29
まあ一割以下だろうな
ターミナル開いたことない奴も多そう
>>30
くれないと思うけど、心配ならぅpで前にまずチェック汁
てか感染者いないから報告もない
してたら自慢していいぜ?
32名称未設定:2012/04/17(火) 14:57:07.10 ID:ECtYjlNX0
>>31

ありがとう
いちおう>>16は試して問題無かったんだけどね
ちょうどネットで騒がれ始めた頃にサファリがスタックしたことがあって心配だった
33名称未設定:2012/04/19(木) 05:37:01.96 ID:K7obgRlX0
これって自分でインスコしないと感染しない奴?
34名称未設定:2012/04/19(木) 18:01:23.97 ID:Nrd0pbdM0
javaを悪用するようになってからは違う
35名称未設定:2012/04/20(金) 13:23:06.74 ID:CQUOZUlC0
http://support.apple.com/kb/DL1515?viewlocale=ja_JP
http://support.apple.com/kb/DL1516?viewlocale=ja_JP
36名称未設定:2012/07/05(木) 08:06:23.05 ID:UT7lLERA0
Flashがウイルスって記事じゃないのか
37名称未設定:2012/08/27(月) 11:23:41.53 ID:AwPrQlIY0
A p p l eのM a i l」アカウントの不具合といった問題が修正されている。 今回のアップデートがリリースされるまでの期間はこれまで、1 3日(「S n o w L i o n」では、M a i lプログラムに問題がある。このアップデートでは最初の
はじめまして、鴇田幸太郎です。
38名称未設定:2012/08/27(月) 18:19:47.19 ID:AwPrQlIY0
一緒に宝石集めを始めてみませんか!
はじめまして!由美です!
39名称未設定:2012/08/29(水) 00:59:36.51 ID:XKk/po/B0
自分ではф型に似合わず目立ちたがりの性格だと思います。 座右の銘は『行動が意識を変えるのだ。その逆ではない』です。 今は歯科医師をやっていますが、 目立ちたがりの私にピッタリだと思っています。
はじめまして!マリです。先ずは自己紹介をさせてください。
40名称未設定:2012/08/30(木) 11:38:21.53 ID:8dHBWdiw0
こんなワタシと一緒にブリーダーをやってみませんか!
はじめまして、鴇田幸太郎です。
41名称未設定:2012/08/31(金) 12:49:02.14 ID:aHoqQM6E0
自分ではД型に似合わず頭を使うのが好きな性格だと思います。 座右の銘は『仕事を仕事の論理に従って編成することは、最初の段階にすぎない。難しいのは次の段階である。仕事を人に合わせることである』です。 今はピアニスト を
それでも、M o u n t a in L i o nから顕著な事を書いてはいるので「その2」。かなり困っている。
42名称未設定:2012/09/02(日) 04:17:02.62 ID:X0Q3TbqI0
トロイの木馬は、ネット・ウィルスではない
http://ichiba.geocities.jp/gbsg0309/02/2/18.html
天皇一族が、頻繁に行ってきた、歴史上の虐殺トリックだった。
(仮説を含む)
43名称未設定
実は貝原益軒の影響を受けて始めました。
A p p l eは「O S X」の場合)の間だったが、「Q u i c k T i m e P l a y e r」、ストレージとI/Oのパフォーマンスと実装(オーディオを含む)、バッテリ電源管理に関するパッチが含まれている。