Previous Topへ Next

OSXのtips3-12

今まで運用記録に書いてきたシステム運用のtipsを一カ所にまとめることにした。 要するに記事の量が当初の想定よりも多くなってしまい 私自身探すのが大変になってきたからだ。 ちょっとしたメモとしてのtipsも結構重要な情報になったりするので ここで項目を集めることにした。
セキュリティに関するtips

anchor

Macの著名ビデオ変換アプリにトロイの木馬「Proton」が混入して相当数のMacが感染している恐れが出てきた〜KeyChain、1Passwordの情報が狙われているようだ

5月8日のMalwarebytes Labsが取り上げた情報で、Macのビデオ変換アプリHandBrakeのサーバーがクラックされ、Macの個人情報・セキュリティ情報を抜き取る新型のトロイの木馬「OS X Proton B」が混入していたというニュースが流れた。

ソースによるとサーバーのクラックとマルウエアの混入は5月2日に起こったと見られているということだ。
このトロイの木馬はキーチェーンのパスワード情報や1Passwordの情報を抜いて特定のサーバーに勝手に送信する動きをするとのこと。

該当のHandBrakeのバージョンは1.0.7。





早速アプリケーションフォルダのHandBrakeのバージョンを確認すると1.0.7でビンゴ!
1.0.7にアップデートした日付をTime Machineに入って確認したところ5月1日で
HandBrakeが汚染したのが5月2日というのは現地時間だから微妙なところ




マルウエアに汚染されたHandBrakeは初回起動時に特徴的な振る舞いをする
これは「Malwarebytes Labs」で掲載された画像だが
HandBrakeは追加のコーデックをインストールするか?」とパスワードを求めてくる
通常のHandBrakeの起動でパスワードを求められないしこの時に感染が起きるようだ
今回のアップデート後にパスワードを求められたかどうかは記憶がはっきりしない
そういうことはなかった気がするがいつも注意しているわけではないのではっきりしない




そこで念のために久しぶりにClamXavで起動ボリューム全域スキャンを実施した
その結果いくつかのスパムメールと古い既知のブラウザ、ゲームアプリを検知しただけだった

anchor

Malwarebytes
(Freeware)
OS10.9Mavericks対応OS10.10Yosemite対応OS10.11El Capitan対応
OS10.12Sierra対応WindowsXP~7対応

Macでも被害を出している特定のトロイの木馬を検知する専用セキュリティアプリ。

Mac版はMalwarebytes for Macという名称でフリーウエアで配布されている。

今回のOS X Proton Bマルウエア騒動の最初の情報元のMalwarebytes Labが発表後すぐにこれに対応するMalwarebytesシグニチャーをリリースして対応した。

ClamXavで一応陰性の結果が出たが、念のためにこのマルウエアに対応したMalwarebytesでもスキャンしてみた。





Malwarebytesは初回起動時ヘルパーツールのインストールを求められる




Malwarebytesの使い方はとても簡単
スキャンボタンをクリックして結果を待つだけ




動きを見ていると特定のアドウエア、トロイの木馬の
パターンで全域をスキャンするという仕組みのようだ
シンプルな仕組みなので動作は軽快で非常に早い




結果は「マルウエアは見つかりませんでした」とのことでまずは一安心
もし問題が起きたらリンク先のページへ飛んで解決せよと言われる
マルウエア発見の画像を見るとユーザライブラリの中に
RenderFiles、VideoFrameworksというファイルを生成するようだ
通常は存在しないこのファイルがインストールされたマルウエア本体らしい




Malwarebytesのメニューにはシステムスナップショットという項目がある
現在どんな機能拡張などのプラグインがインストールされているかスナップショットをとって
問題が起きた時何が増えているかを比較することで新種のマルウエアの発見が早くなるかもしれない



2017年5月10日













Previous Topへ Next





site statistics
青木さやか