Appleがウィルス定義データベースXProtectをv2097へアップデートし新たに2つのマルウェアをブロックしています。詳細は以下から。
Appleは現地時間2017年12月01日、macOS/OS Xのウィルス定義データベースXProtect(関連記事)をv2097へ、マルウェアを検出&削除を行うMalware Removal Toolのデータベースをv1.26へアップデートしています。
XProtect v2097に追加されたマルウェアは「OSX.ParticleSmasher.A」と「OSX.HiddenLotus.A」の2つで、加えてXProtect v2095で追加されたラウザハイジャッカーHminigの亜種と思われる「OSX.Hmining.D」のデータベースがアップデートされています。
XProtect v2097で追加された「OSX.ParticleSmasher.A」と「OSX.HiddenLotus.A」
新たなマルウェアの情報は現在のところ公開されていないようですが、Malware Removal Tool v1.26にはクラック版Sketchに潜み、感染したMacを暗号通貨マイニングに利用するトロイの木馬「OSX.CpuMeaner」などが追加されています。
追記
XProtect v2097に追加された「OSX.ParticleSmasher」は偽のシマンテックのWebサイトから配布されていた「Symantec Malware Detector」で、「OSX.HiddenLotus」はXML内に潜むmacOSマルウェアのバイナリである事が確認されました。
Confirmed with #UXProtect that new OSX.ParticleSmasher signature matches OSX.Proton variant posing at "Symantec Malware Detector". pic.twitter.com/Oh1t1oq4IS
— Digita Security (@digita_security) 2017年12月1日
おまけ
XProtectやGatekeeper, MRTは順次ロールアウトされ自動的にアップデートが行われますが、強制アップデートやGatekeeper/MRTのバージョンの確認は以下のコマンドで行うことが可能です。
- XProtectのバージョンの確認 (Yosemite以前)
defaults read /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta Version
defaults read /System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.meta Version
defaults read /private/var/db/gkopaque.bundle/Contents/Info.plist CFBundleShortVersionString
softwareupdate -l --include-config-data
sudo softwareupdate --background-critical
コメント
10.13の方がはるかに怖いんですけど。