Apple、macOSのウィルス定義データベース「XProtect」をv2112へアップデートし、3つのPUPとAdobeのクラッキングツール「Adobe Zii」に偽装されたマルウェアをブロック。

softwareupdate --history XProtect
softwareupdate --history
記事内に広告が含まれています。
スポンサーリンク

 AppleがmacOSのウィルス定義データベース「XProtect」をv2112へアップデートし、3つのPUPとAdobeのクラッキングツール「Adobe Zii」に偽装されたマルウェアをブロックしています。詳細は以下から。

XProtectのアップデートを表すアイコン

 Appleは現地時間2020年01月22日、macOSのウィルス定義データベース「XProtect」をv2112へ、Macに入り込んだマルウェアを検出し削除するセキュリティ機能「Malware Removal Tool(以下、MRT)」のデータベースをv1.53アップデートしています。

softwareupdate --history

softwareupdate –history

 XProtect v2112ではXProtect.yaraに以下の4つのルールが追加されており、アメリカのセキュリティ企業SentinelOneのセキュリティ研究者Philip Stokesさんによると、”MACOS.8283b86″および”MACOS.b264ff6″、”MACOS.f3edc61″の3つはPUPですが、

PUP(Potentially Unwanted Program) : OSに実害は無いものの、ユーザーが不要とする機能やポップアップを表示し害を与える可能性があるプログラムの総称。

MACOS.60a3d68“はAdobe製アプリのクラッキングツール「Adobe Zii」から起動するように細工されているため、Adobe Ziiに偽装されて拡散されているようで、中には感染したMacに保存されている仮想通貨情報や感染したMacでマイニングを行うOSX.Darthminerの亜種が同梱されていると思われます。

Adobe Ziiを呼び出すMACOS.60a3d68

 XProtect v2112とMRT v1.53は01月22日からロールアウトが開始されていますが、以下のsoftwareupdateコマンドで現在の状況を確認&実行できるので、気になる方はチェックしてみてください。

XProtect v2112とMRT v1.53

おまけ

 XProtectやGatekeeper, MRTは順次ロールアウトされ自動的にアップデートが行われますが、強制アップデートやGatekeeper/MRTのバージョンの確認は以下のコマンドで行うことが可能です。

  • XProtectやソフトウェア・アップデートの履歴を表示する
  • softwareupdate --history

  • XProtectのバージョンの確認 (Yosemite以後)
  • defaults read /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta Version

  • XProtectのバージョンの確認 (El Capitanより前)
  • defaults read /System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.meta Version

  • Gatekeeperのバージョンの確認
  • defaults read /private/var/db/gkopaque.bundle/Contents/Info.plist CFBundleShortVersionString

  • XProtectやGatekeeperなどのアップデートリストをチェックする
  • softwareupdate -l --include-config-data

  • XProtectやGatekeeperなど表示された全てのアップデートをインストールする
  • softwareupdate -ia --include-config-data

  • XProtectなどのアップデート
  • sudo softwareupdate --background-critical

コメント

  1. 匿名 より:

    > Adobe製アプリのクリッキングツール
    アドビのマウスクリックツール?
    と思ったがきっと「クラッキングツール」

    • applech2 より:

      ご指摘ありがとうございます。先程該当箇所のTypoを修正したので、午後には修正されていると思います。
      クリッキングツール → クラッキングツール

タイトルとURLをコピーしました