Apple、macOSのウィルス定義データベース「XProtect v2103」および「MRT 1.41」をリリース。

softwareupdate -l --include-config-data XProtect
記事内に広告が含まれています。
スポンサーリンク

 AppleがmacOSのウィルス定義データベース「XProtect v2103」および「MRT 1.41」をリリースしています。詳細は以下から。

XProtectのアップデートを表すアイコン

 Appleは現地時間2019年05月01日、macOSのウィルス定義データベースXProtectをv2103へ、Macに入り込んだマルウェアを検出し削除するセキュリティ機能「Malware Removal Tool(以下、MRT)」のデータベースをv1.41アップデートしています。

softwareupdate -l --include-config-data

softwareupdate -l --include-config-data

 今回のアップデートではYaraルールファイルに“MACOS.6175e25”という検体情報が追加されており、この検体情報は2019年04月末に米SentinelOneのセキュリティ研究者Philip Stokesさんによって報告されたUnPack(com.techyutils.UnPack)というPUP/PUAをインストールさせようとするマルウェアを指しています。

MACOS.6175e25

rule XProtect_MACOS_6175e25
{
    meta:
        description = "MACOS.6175e25"
    strings:
        $a1 = { 00 25 40 25 40 25 40 25 40 00 25 63 00 }
        $a2 = { 64 65 6c 65 74 65 41 70 70 42 79 53 65 6c 66 }
        $a3 = { 65 6e 63 72 79 70 74 44 65 63 72 79 70 74 4f 70 65 72 61 74 69 6f 6e }
        $a4 = { 45 6e 63 6f 64 65 44 65 63 6f 64 65 4f 70 73 }
        $a5 = { 63 72 65 61 74 46 69 6c 65 4f 6e 54 65 6d 70 3a 73 63 72 70 4e 61 6d 65 3a }
    condition:
        Macho and all of ($a*) and filesize < 200KB
}

 UnPackは2019年04月01日にVirusTotalに登録され、既に多くのセキュリティアプリが駆除に対応し、XProtectも順次ロールアウトされますが、気になる方は以下の方法でXProtect/MRTのアップデートをチェックしてみてください。

おまけ

 XProtectやGatekeeper, MRTは順次ロールアウトされ自動的にアップデートが行われますが、強制アップデートやGatekeeper/MRTのバージョンの確認は以下のコマンドで行うことが可能です。

  • XProtectのバージョンの確認 (Yosemite以後)
  • defaults read /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta Version
  • XProtectのバージョンの確認 (El Capitan以降)
  • defaults read /System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.meta Version
  • Gatekeeperのバージョンの確認
  • defaults read /private/var/db/gkopaque.bundle/Contents/Info.plist CFBundleShortVersionString
  • XProtectやGatekeeperなどのアップデートリストをチェックする
  • softwareupdate -l --include-config-data
  • XProtectやGatekeeperなど表示された全てのアップデートをインストールする
  • softwareupdate -ia --include-config-data
  • XProtectなどのアップデート
  • sudo softwareupdate --background-critical

コメント

タイトルとURLをコピーしました