Apple、ウィルス定義データベースXProtectをv2098へアップデートし新たなマルウェアをブロック。

XProtect v2098アップデート XProtect
2018.01.17
記事内に広告が含まれています。
スポンサーリンク

 Appleがウィルス定義データベースXProtectをv2098へアップデートし新たなマルウェアをブロックしています。詳細は以下から。

XProtectのアップデートを表すアイコン

 Appleは現地時間2018年01月17日、macOS/OS Xのウィルス定義データベースXProtect(関連記事)をv2098へアップデートしています。

XProtect v2098アップデート

 XProtect v2098に追加されたマルウェアは「OSX.Bundlore.D」の1つですが、2017年09月に追加されたブラウザ・ハイジャッカーHminigの亜種と思われるOSX.Hmining.Dのデータベースがアップデートされています。

XProtect_OSX_Bundlore_D

 新たに追加された「OSX.Bundlore.D」の情報は現在のところ公開されていないようですが、XProtectのYaraルールを見る限りではopensslやFasdUASといったプロセスが監視されているようです。

rule XProtect_OSX_Bundlore_D

  • meta:
    • description = “OSX.Bundlore.D”
  • strings:
    • $a1 = ” echo ”
    • $a2 = ” | openssl enc -aes-256-cfb -pass pass:”
    • $a3 = “-salt -A -a -d | bash -s”
    • $b1 = “FasdUAS”
  • condition:
    • $b1 at 0 and all of ( $a* ) and filesize >= 3000

XProtectより

おまけ

 XProtectやGatekeeper, MRTは順次ロールアウトされ自動的にアップデートが行われますが、強制アップデートやGatekeeper/MRTのバージョンの確認は以下のコマンドで行うことが可能です。

セキュリティ・アップデートのバックグラウンドチェック

  • XProtectのバージョンの確認 (Yosemite以前)
    • defaults read /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta Version
  • XProtectのバージョンの確認 (El Capitan以降)
    • defaults read /System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.meta Version
  • Gatekeeperのバージョンの確認
    • defaults read /private/var/db/gkopaque.bundle/Contents/Info.plist CFBundleShortVersionString
  • XProtectやGatekeeperなどのアップデートリストをチェックする
    • softwareupdate -l --include-config-data
  • XProtectやGatekeeperなど表示された全てのアップデートをインストールする
    • softwareupdate -ia --include-config-data
  • XProtectなどのアップデート
    • sudo softwareupdate --background-critical

コメント

  1. 匿名 より:
    2018年1月17日 9:56 PM

    いつも参考にさせて頂いております。
    softwareupdate –background-critical では アップデートできまぜんでした
    プロセスがすぐ終了します(ネットにアクセスされません)
    softwareupdate -ia –include-config-data にてアップデート可能でした。
    1 macOS High Sierra Ver 10.13.2 (17C205)ですが 今回
      softwareupdate –background-critical にて アップデートできませんでした

    bash-3.2# softwareupdate -l –include-config-data
    Software Update Tool

    Finding available software
    Software Update found the following new or updated software:
    * XProtectPlistConfigData-2098
    XProtectPlistConfigData (2098), 35K [recommended]
    * MRTConfigData-1.28
    MRTConfigData (1.28), 2639K [recommended]
    bash-3.2# softwareupdate –background-critical
    softwareupdate[1792]: Triggering background check with forced scan (critical and config-data updates only) …
    bash-3.2#

    2 softwareupdate -ia –include-config-data にてアップデート可能でした。
    bash-3.2# softwareupdate -ia –include-config-data
    Software Update Tool

    Finding available software

    Downloading XProtectPlistConfigData
    Downloading MRTConfigData
    Downloaded XProtectPlistConfigData
    Downloaded MRTConfigData
    Installing XProtectPlistConfigData, MRTConfigData
    Done with XProtectPlistConfigData
    Done with MRTConfigData
    Done.
    bash-3.2#

    返信
    • applech2 より:
      2018年1月18日 7:52 AM

      ご指摘ありがとうございます。
      Install & allオプションの箇所追記しを先ほど追記したのでWordPressのキャッシュクリア後に更新されると思います。
      ttps://developer.apple.com/legacy/library/documentation/Darwin/Reference/ManPages/man8/softwareupdate.8.html

      返信
タイトルとURLをコピーしました