AppleがmacOSのウィルス定義データベース「XProtect v2103」および「MRT 1.41」をリリースしています。詳細は以下から。
Appleは現地時間2019年05月01日、macOSのウィルス定義データベースXProtectをv2103へ、Macに入り込んだマルウェアを検出し削除するセキュリティ機能「Malware Removal Tool(以下、MRT)」のデータベースをv1.41アップデートしています。
softwareupdate -l --include-config-data
今回のアップデートではYaraルールファイルに“MACOS.6175e25”という検体情報が追加されており、この検体情報は2019年04月末に米SentinelOneのセキュリティ研究者Philip Stokesさんによって報告されたUnPack(com.techyutils.UnPack)というPUP/PUAをインストールさせようとするマルウェアを指しています。
rule XProtect_MACOS_6175e25
{
meta:
description = "MACOS.6175e25"
strings:
$a1 = { 00 25 40 25 40 25 40 25 40 00 25 63 00 }
$a2 = { 64 65 6c 65 74 65 41 70 70 42 79 53 65 6c 66 }
$a3 = { 65 6e 63 72 79 70 74 44 65 63 72 79 70 74 4f 70 65 72 61 74 69 6f 6e }
$a4 = { 45 6e 63 6f 64 65 44 65 63 6f 64 65 4f 70 73 }
$a5 = { 63 72 65 61 74 46 69 6c 65 4f 6e 54 65 6d 70 3a 73 63 72 70 4e 61 6d 65 3a }
condition:
Macho and all of ($a*) and filesize < 200KB
}
UnPackは2019年04月01日にVirusTotalに登録され、既に多くのセキュリティアプリが駆除に対応し、XProtectも順次ロールアウトされますが、気になる方は以下の方法でXProtect/MRTのアップデートをチェックしてみてください。
おまけ
XProtectやGatekeeper, MRTは順次ロールアウトされ自動的にアップデートが行われますが、強制アップデートやGatekeeper/MRTのバージョンの確認は以下のコマンドで行うことが可能です。
- XProtectのバージョンの確認 (Yosemite以後)
defaults read /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta Version
defaults read /System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.meta Version
defaults read /private/var/db/gkopaque.bundle/Contents/Info.plist CFBundleShortVersionString
softwareupdate -l --include-config-data
softwareupdate -ia --include-config-data
sudo softwareupdate --background-critical
コメント