本日のブログは、OSX.Flashback.K に関する記事の続報です。シマンテックのシンクホールから得られた統計によれば、感染数は日を追って少なくなっています。とは言え、当初は今ごろまでにもっと大幅な減少が見られると予測されていたので、その見込みどおりには減っていないことになります。現在も、感染したコンピュータの数は減りつつありますが、およそ 140,000 台が残っています。
過去数日の間に、シマンテックからも他のベンダー各社からもこの脅威に対処するツールが公開されたので、現在までに感染数は劇的に減少しているはずでした。お使いの Mac が OSX.Flashback.K に感染しているかどうか疑わしい場合には、最新のパッチをインストールして、ウイルス対策の定義ファイルが最新であることを確認し、無償の Norton Flashback Detection and Removal Tool(英語)をお使いいただくことをお勧めします。
シンクホール
注: 4 月 12 日はシンクホールドメインは利用できませんでした。
コマンド & コントロール(C&C)サーバー
ドメイン名ジェネレータ(DNG)のアルゴリズムを詳しく解析した結果、Flashback がトップレベルドメイン(TLD)として利用するのは ".com" に限らないことが判明しています。
TLD は、次の 5 種類から選択されます。
今後 1 週間に OSX.Flashback.K が接続する C&C サーバーは、以下の図のようになるでしょう。
脆弱性
Flashback Trojan の拡散に使われたのは Oracle Java SE のリモートランタイム環境に存在するサービス拒否の脆弱性(CVE-2012-0507、BID 52161)ですが、それが OSX.Sabpab という、Mac を標的とした別のマルウェアの拡散にも使われていることが確認されています。
また OSX.Sabpab は、Microsoft Word のレコード解析に存在するバッファオーバーフローの脆弱性を悪用する悪質な Word 文書(CVE-2009-0565、BID 35190)とともに拡散される標的型攻撃でも確認されています。
繰り返しますが、最新のウイルス対策定義をインストールし、オペレーティングシステムについてもサードパーティ製のアプリケーションについても最新のパッチを適用しておくことが重要です。
ペイロード C&C サーバー
Flashback のペイロードは、初期段階でダウンロードを実行するコンポーネントよりかなり大きいサイズです。解析は現在も進行中ですが、Flashback は新たに、OSX.Flashback.K のハッシュタグアルゴリズムによって生成される特定のハッシュタグを検索することによって、Twitter の投稿から C&C の新しい場所を取得するという機能も持つようになっています。
駆除ツール
Flashback についての詳しい情報やコンピュータを脅威から保護する方法については、シマンテックの Web サイト(www.symantec.com)を参照してください。OSX.Flashback.K の感染に対しては、検出と駆除のためのツールとして「Norton Flashback Detection and Removal Tool」(英語)を無償でダウンロードしていただくことができます。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。