Apple、OS Xのウィルス定義データベース「XProtect」をv2081へ更新。感染したMacを遠隔操作する「Backdoor.MAC.Eleanor」をブロック。

　AppleがOS Xのウィルス定義データベース「XProtect」をv2081へ更新しています。詳細は以下から。

　Appleは現地時間7月8日、OS Xのウィルス定義データベース「XProtect」をv2081へアップデートし、Bitdefenderによって確認されたバックドアを作成しMacを遠隔操作するマルウェア「Backdoor.MAC.Eleanor」などのマルウェアをXProtect.plistへ追加しています。

　XProtect.plistへ追加されたのは新たに確認された”Eleanor”と、今年3月に追加されたアドウェア”Hmining”の新種で、”Eleanor”マルウェアはこれによりGatekeeperが有効になっていないMacでも実行が抑制されるようになります。

1. OSX.Eleanor.A
2. OSX.Hmining.A.2

アップデート履歴

　今回のアップデートではブロックするAdobe Flash Playerのバージョンは更新されておらず、2016年のXProtectアップデート履歴は以下の通り。

1. 2016年01月06日：XProtect v2072 (古いFlash PlayerをブロックしXProtectを更新)
2. 2016年01月16日：XProtect v2073 (Microsoft Silverlightのブロックを開始)
3. 2016年02月07日：XProtect v2074 (ブロックするマルウェアを追加)
4. 2016年02月10日：XProtect v2075 (データベースを修正)
5. 2016年03月05日：XProtect v2076 (OS X初のランサムウェアKeRangerをブロック)
6. 2016年03月29日：XProtect v2077 (マルウェアを追加)
7. 2016年04月28日：XProtect v2078 (古いFlash Playerをブロック)
8. 2016年05月18日：XProtect v2079 (古いFlash Playerをブロック)
9. 2016年06月20日：XProtect v2080 (古いFlash Playerをブロック, YARAが追加)
10. 2016年07月08日：XProtect v2081 (マルウェアを追加)

　XProtectは自動的にアップデートが行われますが、強制アップデートおよびGatekeeperのバージョンの確認は以下のコマンドで行うことが可能です。

• XProtectのバージョンの確認 (Yosemite以前)

defaults read /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta Version

• XProtectのバージョンの確認 (El Capitan以降)

defaults read /System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.meta Version

• Gatekeeperのバージョンの確認

defaults read /private/var/db/gkopaque.bundle/Contents/Info.plist CFBundleShortVersionString

• XProtectなどのアップデート

sudo softwareupdate --background-critical

• JPEGファイルなどになりすまし、Keychain情報を盗み出すマルウェア「OSX/Keydnap」が確認される
• Mac用マルウェア検出アプリ「Malwarebytes Anti-Malware for Mac」が「Backdoor.MAC.Eleanor」および「OSX/Keydnap」に対応