悪意のあるリモートユーザによるMacの制御を可能とするHellRTS Backdoor
Integoセキュリティ・メモ - 2010年4月16日より
IntegoはMac OS Xを実行するIntel MacならびにPowerPC Macの乗っ取りが可能となるマルウェアの亜種 (OSX/HellRTS.D) について警告を発しています (via APPLE LINKAGE) 。
悪意のあるリモートユーザによるMacの制御を可能とするHellRTS Backdoor@IntegoHellRTSは、RealBasicで開発されており、PowerPCあるいはIntel CPUを搭載するどちらのMacでも実行できるUniversal Binaryプログラムで、Macにインストールされると様々な処理を実行することができます。独自のサーバを起動し、サーバのポートおよびパスワードを構成します。自身を異なるアプリケーションの名前で複製し、ログイン時に必ず起動するように、ユーザのログイン項目に複製したプログラムを追加します。異なる名前が使われるため、ログイン項目内はもとより、アクティビティモニタ内でも発見することは困難です。独自のメールサーバを使って電子メールを送信し、リモートサーバに接続し、感染したMacへ直接アクセス可能にすることができます。リモートからは、画面共有や、Macの終了あるいは再起動、感染したMacのクリップボードの利用など、様々な処理を行うことができます。
このバックドアは、トロイの木馬を利用したり、ウェブブラウザのようなインータネットを使うプログラムの脆弱性を利用して、まずMacへインストールされる必要があります。Integoでは、このバックドアに感染した一般のMacの存在をまだ確認していませんが、このマルウェアがいくつものフォーラムで配布されている事実を考えると、Macを攻撃するかも知れない多くの悪意のあるユーザの手に渡ることも予想されます。
Intego社では4月15日に定義ファイルを更新しているようなので同社製品を使われている方は早急にアップデートしてきましょう。それ以外のセキュリティソフトを使われている方も定義ファイルの更新がされているのかもしれませんのでアップデートしておくことをお勧め致します。
【おことわり】trackbackの受信に異常が起きているため本エントリーのtb新規受付を停止しています。
