Apple、macOSのウィルス定義データベース「XProtect」をv2112へアップデートし、3つのPUPとAdobeのクラッキングツール「Adobe Zii」に偽装されたマルウェアをブロック。

　AppleがmacOSのウィルス定義データベース「XProtect」をv2112へアップデートし、3つのPUPとAdobeのクラッキングツール「Adobe Zii」に偽装されたマルウェアをブロックしています。詳細は以下から。

　Appleは現地時間2020年01月22日、macOSのウィルス定義データベース「XProtect」をv2112へ、Macに入り込んだマルウェアを検出し削除するセキュリティ機能「Malware Removal Tool(以下、MRT)」のデータベースをv1.53アップデートしています。

softwareupdate –history

　XProtect v2112ではXProtect.yaraに以下の4つのルールが追加されており、アメリカのセキュリティ企業SentinelOneのセキュリティ研究者Philip Stokesさんによると、”MACOS.8283b86″および”MACOS.b264ff6″、”MACOS.f3edc61″の3つはPUPですが、

“MACOS.60a3d68“はAdobe製アプリのクラッキングツール「Adobe Zii」から起動するように細工されているため、Adobe Ziiに偽装されて拡散されているようで、中には感染したMacに保存されている仮想通貨情報や感染したMacでマイニングを行う「OSX.Darthminer」の亜種が同梱されていると思われます。

　XProtect v2112とMRT v1.53は01月22日からロールアウトが開始されていますが、以下のsoftwareupdateコマンドで現在の状況を確認＆実行できるので、気になる方はチェックしてみてください。

おまけ

　XProtectやGatekeeper, MRTは順次ロールアウトされ自動的にアップデートが行われますが、強制アップデートやGatekeeper/MRTのバージョンの確認は以下のコマンドで行うことが可能です。

• XProtectやソフトウェア・アップデートの履歴を表示する

softwareupdate --history

• XProtectのバージョンの確認 (Yosemite以後)

defaults read /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta Version

• XProtectのバージョンの確認 (El Capitanより前)

defaults read /System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.meta Version

• Gatekeeperのバージョンの確認

defaults read /private/var/db/gkopaque.bundle/Contents/Info.plist CFBundleShortVersionString

• XProtectやGatekeeperなどのアップデートリストをチェックする

softwareupdate -l --include-config-data

• XProtectやGatekeeperなど表示された全てのアップデートをインストールする

softwareupdate -ia --include-config-data

• XProtectなどのアップデート

sudo softwareupdate --background-critical

• XProtect, Malware Removal Tool, Gatekeeperアップデート履歴まとめ。