Adobe CS4のクラック版torrentから新たなMac用トロイの木馬が発見されるc

Adobe CS4のクラック版torrentから新たなMac用トロイの木馬が発見されるc
Adobe CS4のクラック版torrentから新たなMac用トロイの木馬が発見されるc

Integoは本日、MacのBittorrentで広く流通している新たなトロイの木馬を発見したと報告しました。先週はiWorkのトレントでした。今回はAdobe CS4のシリアルクラッカー(DVDイメージインストーラ自体ではありません)です。ソフトウェアをトレントで利用していない場合は、現時点では心配する必要はありません。Integoより:

エクスプロイト: OSX.Trojan.iServices.B トロイの木馬

発見日:2009年1月25日

リスク:深刻

説明:Integoは、2009年1月22日に発見したiServicesトロイの木馬の新たな亜種を発見しました。この新たなトロイの木馬OSX.Trojan.iServices.Bは、以前のバージョンと同様に、BitTorrentトラッカーや海賊版ソフトウェアへのリンクを含むその他のサイトを通じて配布される海賊版ソフトウェアに含まれています。OSX.Trojan.iServices.Bトロイの木馬は、Adobe Photoshop CS4 for Macにバンドルされています。Photoshopインストーラ自体はクリーンですが、トロイの木馬はプログラムをシリアル化するクラックアプリケーションに含まれています。

このバージョンのPhotoshopをダウンロードした後、ユーザーはクラックアプリケーションを実行して使用できるようにします。クラックアプリケーションはデータから実行ファイルを抽出し、/var/tmp/にバックドアをインストールします。このディレクトリはコンピュータを再起動しても削除されません。(ユーザーがクラックアプリケーションを再度実行すると、トロイの木馬は異なる名前の新しい実行ファイルを作成します。これらのランダムな名前により、マルウェアの安全な削除が困難になります。)

クラックアプリケーションは管理者パスワードを要求し、ルート権限でバックドアを起動します。これにより、実行ファイルが/usr/bin/DivXにコピーされ、/System/Library/StartupItems/DivXにスタートアップ項目が作成されます。プログラムはルート権限で起動されたかどうかを確認し、ルートハッシュパスワードを/var/root/.DivXファイルに保存します。ランダムなTCPポートをリッスンし、GET / HTTP/1.0などのリクエストに209バイトのパケットを送信して応答し、2つのIPアドレスに繰り返し接続します。

次に、クラック アプリケーションは、リソース フォルダー内の .data フォルダーに隠されているディスク イメージを開き、Photoshop プログラムをクラックして使用できるようにします。

この悪意のあるソフトウェアはインターネット経由でリモートサーバーに接続するため、このマルウェアの作成者は、このトロイの木馬が複数のMacにインストールされていることを認識し、それらのMacに接続してリモートで様々な操作を実行できるようになります。また、トロイの木馬は感染したMacに追加のコンポーネントをダウンロードする可能性もあります。

Intego 社は、Mac ユーザに対し、海賊版ソフトウェアを提供するサイトから Photoshop CS4 インストーラをダウンロードしないよう警告しています。(大手 BitTorrent トラッカーサイトによると、東部標準時午前 6 時時点で、このインストーラをダウンロードした人は約 5,000 人に達しています。) 今回のトロイの木馬は、Photoshop CS4 にバンドルされているクラックアプリケーションにのみ存在するため、ユーザは海賊版ソフトウェアを配布するサイトからクラッキングソフトウェアをダウンロードしないよう注意する必要があります。感染ユーザの数を考えると感染リスクは深刻であり、悪意のあるユーザが Mac にアクセスできるようになれば、極めて深刻な結果に直面する可能性があります。このトロイの木馬の最初のバージョンは、感染したコンピュータに新しいコードをダウンロードし、特定の Web サイトに対する DDoS (分散型サービス拒否) 攻撃に使用されました。今回の新しい亜種は同じテクノロジーを使用し、同じリモートサーバに接続するため、新しいコードをダウンロードして同様の動作を実行しようとする可能性があります。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。