さらに感染が広がり1万8000台以上のMacに潜んでいるとされる「Mac.BackDoor.iWorm」の感染経路が特定される。

スポンサーリンク

 先月から話題になっているiWormの感染経路が判明してきているようです。詳細は以下から。

 9月下旬から感染数が日に日に増えていっているMacを対象とした新しいボットネット型マルウェアOSX/iWorm-A(通称”Mac.BackDoor.iWorm”)ですが、その感染経路の1つが特定されたようです。


Mac-Backdoor-iWorm-Map


 Mac.BackDoor.iWormは感染するとボットネット形成のためReddit.comのMinecraftのスレッド検索経由でコマンド&コントロールサーバーのリストを手に入れるようで、Redditはこのsubreddit(2chでいうところの「板」)を凍結、これに危機を感じたRedditユーザー達が感染経路の特定を進めた結果、以下の様な感染経路&方法をまとめたドキュメントを公開しています。


Minecraftserverlists-reddit-iworm-infection

When a Mac is infected with Mac.BackDoor.iWorm, the program tries to make a connection to a command server. The iWorm reportedly uses Reddit’s search function to find comments left by the criminals in a Minecraft discussion section of the site.

[Hackers Have Found A Flaw In Macs And Are Using It To Control 17,000 Apple Computers … Via Reddit – Yahoo Finance]

Mac.BackDoor.iWorm infection route

 あくまでも感染経路の1つですが、iWormは海賊版(pirated copy)Adobe Illustrator CS6, Photoshop CC2014, Photoshop CS6, Microsoft Office 2011, Parallels Desktop 9と一緒にパッケージ化されており、このファイルはaceprogというユーザーがまいた種(seed)によってtorrent経由で広がっているようです。


pirated-copy-including-iWorm-by-aceprog

リンクはしませんが以下のURL(PirateBayb.hatenaというBitTorrentの検索サイト – Wikipedia)で見ることが出来ます。

Browse and Download any torrent from the user . Direct downloads via magnet link.

 このファイルは一番早いもので7月20日にはアップロードされており、その後もアプリを変えてiWormがパッケージ化されたファイルが配布されているようで、いち早く気づいたユーザーが8月29日付けでコメント欄にて警告を送っていますが、現時点(10月5日)で既にSeederが合計で900名以上に達しています。

VegasGuy69 at 2014-08-29 02:39 CET:
DO NOT DOWNLOAD. Password needed to unzip. Spammer!

Piratoon at 2014-10-04 23:32 CET:
VIRUS!!! DO NOT DOWNLOAD:

Everything you need to know to protect your Mac

Mac.BackDoor.iWorm Install method

 以上が感染経路の1つですが、海賊版をダウンロードしただけではインストールされません。iWormがインストールされLaunchDaemonsにpliistや/Library内にファイルを作成するには管理者権限でインストールされる必要があり、その方法は以下の様です。

1.ダウンロードされたAdobe, Microsoft, Parallelsのアプリはどれもインストーラーが変更されており「Installer.app/Contents/MacOS/」内に0, 1, Installという実行ファイルが存在する。


installer-Modified-for-iWorm-1

2.この「0」という実行ファイルをdtruss(指定した実行ファイルをトレースするコマンド)を使用してトレースすると「/Library/Application Support/JavaW」を作成していることが分かります(ターミナル下から2行目)。


installer-Modified-for-iWorm-2

3.この実行ファイルを管理者権限でインストールするために、各Adobe, Microsoft, Parallelsのインストーラーには変更が加えられており、実行すると実際なら(Adobeやど)開発元がはっきりしているのに以下のような「開発元不明(unidentified developer)」という警告が出るそうです。


iWorm-installer-unidentified-developer
“Install” can’t be opened because it is from an unidentified developer.

4.OS X にはGatekeeperが存在するため、感染した方は当然この警告を見たでしょうが無視したため実行ファイル「0」によって正統的に「/Library/LaunchDaemons/com.JavaW.plist」が作成され、このplistが同様に不正な変更が加えられたインストーラーによって作成されたJavaWを呼出しています。


installer-modifed-for-iWorm-5


upx -dを使ってunpackし(qqqはerrorやwaringを止めるオプション)先頭の15行を見たところ

5.最終的にはDr. Webが解説している通りredditからC&Cサーバーの情報を得ようとするので、ファイヤーウォールを有効にしてある場合、以下の様な警告がるようです。


installer-modifed-for-iWorm-Firewall

6.subredditは凍結されたようですが、9月29日時点でのDr. Webが掲載した記事[1]では「1万7658台(17,658 IP)のMacが感染している」という記述が、その後iWormの詳細を記載したページ[2]では「1万8519台(18,519 IP)のMacが〜」となっておりiWorm自体の拡散は止まっていないようです。


Dr-Web-Mac-BackDoor-iWorm-threat-in-detail
[The Mac.BackDoor.iWorm threat in detail]

Doctor Web’s security researchers have dissected the complex malicious program Mac.BackDoor.iWorm, a threat affecting computers running Mac OS X. As of September 29, 2014, 18,519 unique IP addresses were used by infected computers to connect the botnet created by hackers using this backdoor.

6.以上が実行ファイル「0」の動きで、さらに実行ファイル「1」の解析が進んでいるようで、現時点(10月4日)ではVirusTotal.comb.hatena「0」はトロイの木馬として登録されたものの「1」はどのウィルス検出アプリも未登録のようなので注意が必要です(The Safe Macのコメント欄参照)。


exe-0-and-1-virustotal

 また、RedditのiWormスレッドには既に2000件以上のコメントが寄せられており、ほとんど読める状態ではないですが興味のある方は関連リンクからどうぞ。

関連リンク:
Mac.BackDoor.iWorm(更新中) – GoogleDoc

Mac OS Xを標的とした新たなボットネット型マルウェア”Mac.BackDoor.iWorm”のチェック方法b.hatena

1万7000台を超えるMacがマルウェア「iWorm」に感染、感染源は不明~掲示板「reddit」からの命令を待っているb.hatena – INTERNET Watch

iWorm method of infection found! – The Safe Mac
Hackers Have Found A Flaw In Macs And Are Using It To Control 17,000 Apple Computers … Via Reddit – Reddit

Intego Mac Premium Bundle X8
インテゴジャパン
2014-06-20


コメント

  1. Apple7743 より:

    割れか、こりゃ乗っ取られても文句言えんな。

  2. Apple7743 より:

    おもしろいね

  3. Apple7743 より:

    割れかよ
    ふと思ったんだが、ヤフオクとかで色々なソフト詰め合わせで1円とかのもウィルス入ったりしてんのかな

  4. Apple7743 より:

    割れ厨涙目www
    しかしまあ、ウィルスもよくないから、早めの対応をしてほしいね

  5. Apple7743 より:

    macユーザーって、いっつも割れからウイルス広めるよね
    さすが貧乏人向けだけはあるな

  6. Apple7743 より:

    >>5
    その斜め上の情弱っぷりからしてWindowsユーザだろうけど何のブーメランですかね

  7. Apple7743 より:

    いやいや、Windowsユーザとかいう問題じゃねえよ。
    もはや人類ですらないんじゃね?