Apple、macOSのウィルス定義データベース「XProtect」をv2090へ更新し、AppStoreアプリを装いユーザー情報を盗み出す「OSX.Dok」をブロック。

XProtectのアップデートを表すアイコン XProtect
2017.04.30
記事内に広告が含まれています。
スポンサーリンク

 AppleがmacOSのウィルス定義データベース「XProtect」をv2090へ更新し、AppStoreアプリを装いユーザー情報を盗み出す「OSX.Dok.B/A」をブロックしています。詳細は以下から。


 Appleは現地時間2017年04月29月、macOS/OS Xのウィルス定義データベースXProtectをv2090へ更新し、先日報告されたマルウェア「OSX/Dok」を「OSX.Dok.B」と「OSX.Dok.A」としてブロックしています。

 OSX.Dokはイスラエルのセキュリティ企業Check Pointによ報告され、現在欧米を中心にメール経由で広がっており、メールに添付されたファイルを開き実行すると偽のAppStoreやTOR, SOCAT(brew経由)をインストールし、sudoersやプロキシ設定を書き換え、感染したMacのHTTPSトラフィックスを盗み中間者攻撃の踏み台として利用するマルウェアで、

XProtect v2090ではOSX.Dok.Bおよび.Aによる以下のMatch-OおよびUnixコマンドなどがブロックされています。

  • OSX.Dok.B
    • SelfInstall
    • IsLoginScriptExists
    • AddLoginScript
    • IyEvdXNyL2Jpbi9lbnYgcHl0aG9uCiMgLSotIGNvZGluZzogdXRmLTggLSotCmltc
  • OSX.Dok.A
    • IsLoginScriptExists
    • CloseAllBrowsers
    • security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain
    • tcp4-LISTEN:5555,reuseaddr,fork,keepalive,bind=127.0.0.1
XProtect v2090はUSのCDNで先行に公開されているので、現在のところ強制的にsoftwareupdateしてもv2089のままの可能性があります。

アップデート履歴

 最新のmacOSで2016~2017年間に行われたXProtectアップデートは以下の通りで、今月に入りマルウェアを削除するMRT(Malware Removal Tool)アプリもv1.15へアップデートしています。

  1. 2016年01月06日:XProtect v2072 (古いFlash PlayerをブロックしXProtectを更新)
  2. 2016年01月16日:XProtect v2073 (Microsoft Silverlightのブロックを開始)
  3. 2016年02月07日:XProtect v2074 (ブロックするマルウェアを追加)
  4. 2016年02月10日:XProtect v2075 (データベースを修正)
  5. 2016年03月05日:XProtect v2076 (OS X初のランサムウェアKeRangerをブロック)
  6. 2016年03月29日:XProtect v2077 (マルウェアを追加)
  7. 2016年04月28日:XProtect v2078 (古いFlash Playerをブロック)
  8. 2016年05月18日:XProtect v2079 (古いFlash Playerをブロック)
  9. 2016年06月20日:XProtect v2080 (古いFlash Playerをブロック, YARAが追加)
  10. 2016年07月08日:XProtect v2081 (マルウェアを追加)
  11. 2016年09月15日:XProtect v2082 (古いFlash PlayerをブロックしXProtectを更新)
  12. 2016年09月20日:XProtect v2083 (macOS Sierraへ対応)
  13. 2016年10月13日:XProtect v2084 (古いFlash Playerをブロック)
  14. 2016年11月01日:XProtect v2085 (古いFlash Playerをブロック)
  15. 2016年11月21日:XProtect v2086 (新しいマルウェアをブロック)
  16. 2017年01月18月:XProtect v2087 (新しいマルウェアとSafari機能拡張をブロック)
  17. 2017年02月17月:XProtect v2088 (新しいマルウェアをブロック)
  18. 2017年02月23月:XProtect v2089 (新しいランサムウェアをブロック)
  19. 2017年04月29月:XProtect v2090 (新しいマルウェアをブロック)
    • OS X 10.9 Mavericks以降 : XProtect v2090
    • OS X 10.8 Mountain Lion : XProtect v2087
    • Mac OS X 10.7 Lion : XProtect v2087
    • Mac OS X 10.6 Snow Leopard : XProtect v107

 XProtectは自動的にアップデートが行われますが、強制アップデートおよびGatekeeperのバージョンの確認は以下のコマンドで行うことが可能です。

  • XProtectのバージョンの確認 (Yosemite以前)
    • defaults read /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta Version
  • XProtectのバージョンの確認 (El Capitan以降)
    • defaults read /System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.meta Version
  • Gatekeeperのバージョンの確認
    • defaults read /private/var/db/gkopaque.bundle/Contents/Info.plist CFBundleShortVersionString
  • XProtectなどのアップデート
    • sudo softwareupdate --background-critical

おまけ

 XProtectのバージョンをチェックするだけならばSQWARQのPhilさんが開発&公開している「Critical Updates」アプリを使うと便利です。

コメント

  1. 匿名 より:
    2017年4月30日 3:01 PM

    先ほどMalware Removal Toolが1.16、XProtectが2090に更新されたようです。両方とも2017/04/30 13:07となっています。

    返信
タイトルとURLをコピーしました