Mac(OS X)を標的とし、キーロガー機能を備えた新たなバックドア型トロイの木馬「Ventir」が発見される&感染のチェック方法。

スポンサーリンク

 またMac(OS X)をターゲットとしたトロイの木馬が発見されたそうです。詳細は以下から。


B0qOQNzIgAAL6s8


 今回新たに発見されたトロイの木馬「Ventir」はKaspersky Lab.が運営するブログ「Securelist」に掲載されており、バックドア、キーロガーなどの機能が発見されたそうです。


 Securelistに続きIntegoもこのVentirの存在を確認したそうで、感染経路はわからないもののおそらくiWormと同様にP2PやBitTorrentなどで海賊版のソフトb.hatenaに混入されていたのではないかと推測しており、中にはGitHubで公開されているLogKextというキーロガーも確認されたそうです。

We currently do not know how the malware is distributed. Ventir is a Trojan horse, so it’s likely being picked up when downloading pirated software from peer-to-peer websites, such as BitTorrent.
(略)
The keystroke logger makes use of an open source software package freely available from GitHub, called LogKext. Given the recent scares about hacked accounts, the thought of software that watches what you type and sends it to the bad guys is particularly unnerving.

[Ventir Trojan Intercepts Keystrokes from Mac OS X – The Mac Security Blog]

感染チェック方法

 Ventirに感染するとroot権限を与えてしまった場合には”/Library/.local”と”/Library/LaunchAgents”に、与えなかった場合にも”~/Library/.local”と”~/Library/LaunchAgents”に以下のファイルが生成されるそうです。


Ventir

1./Library/.local/updated – re-launches files update and EventMonitor in the event of unexpected termination.

2./Library/.local/reweb – used to re-launch the file updated.

3./Library/.local/update – the backdoor module.

4./Library/.local/libweb.db – the malicious program’s database file. Initially contains the Trojan’s global settings, such as the C&C address.

5./Library/LaunchAgents (or LaunchDaemons)/com.updated.launchagent.plist – the properties file used to set the file Library/.local/updated to autorun using the launchd daemon.

6. /Library/.local/kext.tar – the driver that intercepts user keystrokes. This is installed at /System/Library/Extensions/updated.kext. There is a good chance the user will see a popup for this when it’s installed.

7./Library/.local/EventMonitor – This is the agent that logs the current active window name and the keystrokes to the following file: Library/.local/.logfile

 これらのファイルが存在した場合Ventirに感染しているので、チェック方法としては、まず以下のファイルがあるかどうかをFinderの[移動] > [フォルダへ移動…]などで確認して下さい。


Finder-Library-dot-local

/Library/.local/
– /Library/.local/

 ”.local”フォルダ(ディレクトリ)は不可視フォルダになっているので、Finderを移動して見つけたい場合はdefaultsコマンドを使用して不可視フォルダを表示する必要があります。


Mac-OS-X-不可視フォルダ

defaults write com.apple.finder AppleShowAllFiles TRUE
killall Finder
もとに戻す場合は
defaults write com.apple.finder AppleShowAllFiles FALSE
killall Finder

 以上のファイルが見つかった場合、すでにキーロガーが動いているならば”/Library/.local/.logfile(または ~/Library/.local/.logfile)”にログファイルが存在し、打ち込んだアカウントやパスワードなど全てが残っているそうです。


Ventir_4-Keylogger

 Ventirは既に10月17日時点でVirustotalに登録されているものの、まだ対応していないウィルス対策ソフトも多いようです。


59539ff9af82c0e4e73809a954cf2776636774e6c42c281f3b0e5f1656e93679

関連リンク:
The Ventir Trojan: assemble your MacOS spy– Securelist

Ventir Trojan Intercepts Keystrokes from Mac OS X – The Mac Security Blog

New “Ventir” malware – The Safe Mac


コメント

  1. Apple7743 より:

    なんもなかったよ(´・ω・`)

  2. Apple7743 より:

    また割れファイルに含まれてるのか…
    アンチウィルスソフトも未対応だからほとんどの人がスルーだろうな、自業自得だけど。

  3. Apple7743 より:

    正直割れ厨がどうなろうとどうでもいい
    一般人にとっての脅威は、Windowsみたいにメールの添付開いてハイ感染みたいなやつなわけで、それをちゃんと報道してくれればいい
    Windows系ウイルスの報道は、割れ関係のやつまでしてないだろと(DVD割った公職が情報漏洩みたいな報道はあるけど)
    最近『Macもヤバい』と言いた気なメディアがチラつくが、金の匂いしかしねーんだよなあ
    『シェアが低かったからこれまで少なかっただけ』とドヤ顔で言うのも湧くし、ユーザからすれば目障りでしかない

  4. Apple7743 より:

    標準機能(Gatekeeper)で防げるか知りたいな

  5. Apple7743 より:

    こんなのは二次災害が怖いよな
    トレントとかやてない人でもローカルネットやメールを介して社内中に広がりそう

  6. Apple7743 より:

    流石にメールの添付ファイルにroot権限与えたりはしないだろ…
    Windowsでよくあった社内LANでの阿鼻叫喚とかは、大抵OSレベルでの脆弱性であって
    受け取った側がよくわからずにroot権限与えたりしてたわけじゃないから
    今の企業は、基本的に個人に権限与えるシステムにはしてないし心配してもしゃーない

  7. Apple7743 より:

    > 最近『Macもヤバい』と言いた気
    実際めちゃめちゃヤバいじゃん。OSの脆弱性は他のプラットフォームの群を抜いてる。
    売れれば売れるほど貿易赤字をまきちらし、サプライヤーはリベート要求された上、技術盗まれてポイ捨て。日本にとって横暴の限りを尽くすAppleはまさに帝国主義。

  8. Apple7743 より:

    なんか香ばしいのが湧いてるな
    そもそもMacの惰弱性とWindowsの惰弱性じゃヤバさのレベルがぜんぜん違う場合がほとんどだと思うが

  9. Apple7743 より:

    >売れれば売れるほど貿易赤字をまきちらし
    例の記事の受け売りか
    貿易赤字のほとんど要因は為替と化石燃料費の影響なんだが…

  10. Apple7743 より:

    >実際めちゃくちゃヤバいじゃん。
    ↑最近のニュース(記事)を見ただけwwwww

  11. Apple7743 より:

    >技術盗まれてポイ捨て。
    これもメディアが作り上げた嘘ってバレてたよな
    Twitterで燕の作業員が「ウチをダシに勝手書いてアップル(提携先)叩くな」とブチギレてた
    無論メディアは総ダンマリ