AppleがMacを介してiOSデバイスの情報を狙う「WireLurker」マルウェアや正規アプリのインストーラーと偽りMacにアドウェアをインストールする「DownLite」に対応するためXprotectを更新しています。詳細は以下から。
2014年10月にRedditを仲介するボットネット型マルウェア”Mac.BackDoor.iWorm”が1万8千台以上のMacに存在することがわかり
Yesterday, an update to Apple’s XProtect definitions appeared on Apple’s servers. (XProtect is the anti-malware protection built into Mac OS X.) This update adds a definition for “OSX.Downlite.A” that matches the Downlite installer that I submitted to Apple three weeks ago, along with a description of the behavior that this particular variant was exhibiting with regard to my site. I have reason to believe this behavior was what led Apple to classify Downlite as worthy of including in XProtect.
[Downlite adware blocked by Apple – The Safe Mac]
追加されたウィルスデータベースはWireLurker用に「OSX.Machook.A/B(2014年11月6日更新)」、DownLite用に「OSX.Downlite.A(2014年11月21日更新)」で、OS X 10.10 YosemiteではDownLite, Machook.Bが使用しているセキュリティーホールが塞がれているためMachook.Aのみの更新となっています。
「XProtect.plist」はCoreTypes.bundles内にあるMacのマルウェア定義ファイルで、このファイルはXProtectUpdaterによって24時間体制で更新されているので確認したい方は以下のファイルパスからどうぞ。
/System/Library/CoreServices/CoreTypes.bundle/Contents/Resources
関連リンク:
・Mac OS X上に広告を表示させるトロイの木馬 – Doctor Web Pacific
・AppleはiWormの亜種を把握し、OS Xのバージョン別に「XProtect.plist」を更新しているもよう
・Palo Alto Networks、中国で猛威をふるうマルウェア「WireLurker」に感染したアプリを検出するスクリプト「WireLurkerDetector」を公開
コメント
最近のXProtectの更新頻度が早くて心配だ…
早い対策で安心な気もしますが、
それほど数が急増してるってことですかね??