先週からMac向けマルウェア「iWorm」が世界中で拡散している、という報道がされています。感染しているかどうかは簡単に調べることができるため、Macを使っている方はぜひ試してみるようオススメいたします。
iWormとは
ざっくりいうと、悪意のあるアプリやファイル、スクリプトがOSに入ってきやすいようにしてしまう、という被害です。
下記のサイトに分かりやすく説明されていました:
ポートの開放
iWormは「マルウェア」であり「ウィルス」とは呼ばれていないことからもわかるように、このiWorm自体には他PCへの感染力はありません。
iWormに感染するとバックグラウンドでポートを開放し始めます。これにより悪意のあるアプリやファイルをインストールする「道筋」をつけるわけです。
掲示板からC&Cサーバーリストを取得
次にiWormは掲示板「Reddit.com」にアクセスし「現在日時(UTC)のシリアル値(※1)をMD5でハッシュ化したものの頭から8バイト分」を検索条件に検索をかけます。
そうするとReddit.comの「minecraftサーバーリスト」というカテゴリ内にあるスレッドのコメント欄からC&C(コマンド&コントロール)サーバーのリストをダウンロードします。
感染しているmacをC&Cサーバーに接続
最後にiWormは自分がいるmacを取得したC&Cサーバーに接続しにいきます。そしていかなるLUAスクリプトも受け入れるようにOSXのセキュリティを弱めて待機します。
以上がiWormの主な動きになります。コントロールサーバーがどこなのかを隠すために掲示板のコメント欄を利用するあたり、日本の遠隔操作ウィルス「iesys.exe」を思い出しますね。
感染台数は17,000台以上とのことですが、直近四半期(2014年7月)で480万台販売といったような実績なので、対象となるMacは相対的に見れば大きな台数ではありません。またWindowsの感染比率と比べれば、非常に小さな数字。
とはいえ、感染しているか簡単に調べられるので、下記を参考にしてください。
iWormに感染しているか調べる方法
①「Finder」メニューバーから「移動」→「フォルダへ移動」を選択
②表示された「フォルダの場所を入力」という画面に以下のパスを入力しクリック。2つチェックするフォルダがあるので、それぞれ別々に検索します。
②-1「/Library/Application Support/javaW」
②-2「/Library/LaunchDaemons/com.JavaW.plist」
「フォルダが見つかりません」とのメッセージが表示されれば、感染はしていません。お疲れ様でした!
もし感染していた場合は?
もし感染していた場合は、このフォルダにiWorm関連のファイルが保存されてしまっています。この保存されているファイルを削除してください。これで完了です。
ちなみにわたしのMacは感染していませんでした。お付き合いのある会社の皆さん、ご安心ください(笑。
iOS、OS X、どんどんとApple帝国のシェアが広がっているので、今後もこういったニュースや対策は続くかもしれません。
沖縄県与那原町在住。ICT企業のウェブ部門担当、事業会社のインハウスデザイナーを経験。2012年より独立し、企業のウェブ制作、運用を専門に展開。 ロードバイクと山とコーヒーにこだわりを持つ。
