Apple、macOSのウィルス定義データベース「XProtect」をv2091へ更新し、HandBrakeに同梱されたトロイの木馬「OSX.Proton.B」をブロック。

スポンサーリンク

 AppleはmacOSのウィルス定義データベース「XProtect」をv2091へ更新し、HandBrake for Macに同梱されたトロイの木馬「OSX.Proton.B」をブロックしています。詳細は以下から。

XProtectのアップデートを表すアイコン

 Appleは現地時間2017年05月06月、macOS/OS Xのウィルス定義データベースXProtect(関連記事)をv2091へ更新し、昨日HandBrakeチームによって情報が公開された「OSX.PROTON」の亜種と思われるトロイの木馬を「OSX.Proton.B」としてブロックしています。

2017年05月06日にアップデートされたXProtect v2091をCritical Updatesアプリとplistで確認

The Trojan in question is a new variant of OSX.PROTON[…]We have been informed that the process to update the definitions for OSX’s XProtect feature started this morning, so this should start rolling out to machines automatically soon if not already.

Mirror Download Server Compromised – HandBrake

 PROTONは2017年02月にロシアのサイバー犯罪関連のスレッドに現れた匿名の開発者により販売されたリモートアクセス型トロイの木馬(RAT:Remote Access Trojan)で、このRATを購入した悪意のある攻撃者は以下のプロモーション動画のようにmacOS/OS Xの(ゼロデイ?)脆弱性を使用し、

root権限でのbashコマンドの実行、キー入力、ファイルのアップロード/ダウンロード、SSH/VNCでの接続、スクリーンショット/Webカメラでの撮影などをリモートから行うことが可能になるそうで、

今回ブロックされたOSX.Proton.Bがどの様な動きをするかは分かっていませんが米Malwarebytesが既に検体を特定しているようなので、後日情報が公開されると思われます。

アップデート履歴

 最新のmacOSで2016~2017年間に行われたXProtectアップデートは以下の通りで、今回のアップデートではOSX.Proton.B以外の変更はありません。

  1. 2016年01月06日:XProtect v2072 (古いFlash PlayerをブロックしXProtectを更新)
  2. 2016年01月16日:XProtect v2073 (Microsoft Silverlightのブロックを開始)
  3. 2016年02月07日:XProtect v2074 (ブロックするマルウェアを追加)
  4. 2016年02月10日:XProtect v2075 (データベースを修正)
  5. 2016年03月05日:XProtect v2076 (OS X初のランサムウェアKeRangerをブロック)
  6. 2016年03月29日:XProtect v2077 (マルウェアを追加)
  7. 2016年04月28日:XProtect v2078 (古いFlash Playerをブロック)
  8. 2016年05月18日:XProtect v2079 (古いFlash Playerをブロック)
  9. 2016年06月20日:XProtect v2080 (古いFlash Playerをブロック, YARAが追加)
  10. 2016年07月08日:XProtect v2081 (マルウェアを追加)
  11. 2016年09月15日:XProtect v2082 (古いFlash PlayerをブロックしXProtectを更新)
  12. 2016年09月20日:XProtect v2083 (macOS Sierraへ対応)
  13. 2016年10月13日:XProtect v2084 (古いFlash Playerをブロック)
  14. 2016年11月01日:XProtect v2085 (古いFlash Playerをブロック)
  15. 2016年11月21日:XProtect v2086 (新しいマルウェアをブロック)
  16. 2017年01月18月:XProtect v2087 (新しいマルウェアとSafari機能拡張をブロック)
  17. 2017年02月17月:XProtect v2088 (新しいマルウェアをブロック)
  18. 2017年02月23月:XProtect v2089 (新しいランサムウェアをブロック)
  19. 2017年04月29月:XProtect v2090 (新しいマルウェアをブロック)
  20. 2017年05月06月:XProtect v2091 (新しいトロイの木馬をブロック)
    • OS X 10.9 Mavericks以降 : XProtect v2091
    • OS X 10.8 Mountain Lion : XProtect v2088
    • Mac OS X 10.7 Lion : XProtect v2088
    • Mac OS X 10.6 Snow Leopard : XProtect v108

 XProtectは自動的にアップデートが行われますが、強制アップデートおよびGatekeeperのバージョンの確認は以下のコマンドで行うことが可能です。

  • XProtectのバージョンの確認 (Yosemite以前)
  • defaults read /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta Version
  • XProtectのバージョンの確認 (El Capitan以降)
  • defaults read /System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.meta Version
  • Gatekeeperのバージョンの確認
  • defaults read /private/var/db/gkopaque.bundle/Contents/Info.plist CFBundleShortVersionString
  • XProtectなどのアップデート
  • sudo softwareupdate --background-critical

おまけ

 XProtectのバージョンをチェックするだけならばSQWARQのPhilさんが開発&公開している「Critical Updates(関連記事)」アプリを使うと便利です。

コメント

  1. 匿名 より:

    最近多いねえ。