検索:
ホーム   »   不正プログラム   »   ビデオコーデックを装いDNSを変更するMac OS X 狙いの攻撃レポート

ビデオコーデックを装いDNSを変更するMac OS X 狙いの攻撃レポート

  • 投稿日:2009年9月2日
  • 脅威カテゴリ:不正プログラム, TrendLabs Report, Webからの脅威
  • 執筆:TrendLabs フィリピン
0

TrendLabs | ラボレポート

 Mac OS X を標的にした不正プログラム「JAHLAV」の亜種が、6月から断続的に発生しています。8月に確認された攻撃のうち、代表的な手口を「OSX_JAHLAV.D」を例にご紹介します。「JAHLAV」ファミリは、正規のアプリケーションを装ってコンピュータに侵入し、DNS サーバの設定を変更することにより、ユーザを不正Webサイトにリダイレクトするという攻撃手法で知られています。Windows の OS に比べると、まだマーケットシェアの低い Mac OS X ですが、Mac 人気の上昇を背景に、Mac を狙った攻撃も増加しているようです。

影響を受ける OS:Mac OS X

感染フロー | この攻撃によりユーザがさらされるリスクは | この攻撃の被害にあわないために

感染フロー:

  1. ユーザが、以下のようなドメイン「.com」(IP アドレス はすべて同一)にアクセスし、動画を観ようとすると、ビデオコーデック「MacCinema」のインストーラが表示され、このアプリケーションをダウンロードするように促されます。

    図1. 「MacCinema Installer」
    図1. 「MacCinema Installer」

    ・allincorx
    ・bigdron
    ・cikaredo
    ・civilizxx
    ・comeandtryx
    ・deribrowns
    ・draxxtermania
    ・givendream
    ・hitrowzone
    ・jumborad
    ・ltdkeeper
    ・operationelx
    ・oxxadox
    ・paxxtiger
    ・rednetx
    ・rstdeals
    ・simplexdoom
    ・sinisteer
    ・tdenuwas
    ・tniredrum
    ・ufapeace
  2.  ユーザがコーデックをダウンロードしようとしてクリックすると、不正プログラム「OSX_JAHLAV.D」が代わりにダウンロードされます。この不正ファイルは、「MacCinema」を装っていますが、同時に、”QuickTimeUpdate.dmg” というファイル名を用いて、正規アプリケーション「QuickTime」の更新であるようにも見せかけます。このDMGファイルは、難読化されたコンポーネントファイルを含みます。このコンポーネントファイルは、トレンドマイクロの製品では「UNIX_JAHLAV.D」として検出されます。「OSX_JAHLAV.D」は、コーデックをインストールすると見せかけ、実際には、バックグラウンドで「UNIX_JAHLAV.D」を実行します。
  3.  「UNIX_JAHLAV.D」が実行され、復号化されると、不正スクリプト「PERL_JAHLAV.F」として検出されます。この不正スクリプトは、特定の不正Webサイトにアクセスし、「UNIX_DNSCHAN.AA」として検出される不正プログラムをダウンロードします。
  4.  「UNIX_DNSCHAN.AA」は、DNS サーバを以下の IP アドレスに変更します。
    • <省略>.<省略>.112.139
    • <省略>.<省略>.112.131
  5.  このDNS サーバの変更により、不正リモートユーザは、ユーザの活動を監視することが可能になります。

▲TOP

この攻撃によりユーザがさらされるリスクは:

 DNS サーバの変更により、不正リモートユーザは、ユーザの活動を監視し、不正Webサイトにユーザをリダイレクトすることが可能になります。このリダイレクト先には、フィッシングサイトおよび不正プログラムをダウンロードするWebサイトも含まれます。フィッシングサイトにリダイレクトされた場合、ユーザの個人情報が漏えいし、悪用される恐れがあります。また、不正プログラムが感染したコンピュータにダウンロードされた場合、ユーザは、さらなるリスクにさらされることになります。

▲TOP

この攻撃の被害にあわないために:

 Mac ユーザは、上記のドメインにアクセスしないよう気をつけてください。また、アップルの正規Webサイト以外からソフトウェアをダウンロードする場合、細心の注意が必要です。

執筆者:澄田 明子

Technical Communications Specialist
TrendLabs
Trend Micro Incorporated

 2008年にトレンドマイクロに入社。現在、トレンドラボにてマルウェア解析情報、コアテクノロジー関連のマーケティングコンテンツ作成に従事。

▲TOP

Related posts:

  1. 2010年を振り返る - 1)注目すべき不正プログラム「Top10」
  2. チベット、再び標的型攻撃に利用される。Macユーザも影響あり
  3. 48のAndroidアプリで不正なLibraryファイルを確認、トレンドマイクロが修復ツールを提供
  4. iOS で不正プログラムを確認か


  • 個人のお客さま向けオンラインショップ
  • |
  • 法人のお客さま向け直営ストア
  • |
  • 販売パートナー検索
  • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
  • Latin America Region (LAR): Brasil, México
  • North America Region (NABU): United States, Canada
  • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
  • 電子公告
  • ご利用条件
  • プライバシーポリシー
  • Copyright © 2021 Trend Micro Incorporated. All rights reserved.