MalwareBytesは5日、Windowsの有名なマルウェア「Snake」のMac移植版が発見されたと伝えています。(MacRumors、9to5Mac)。Snakeは2008年にWindows用のものが発見され、2014年にはLinux版が発見された経緯を持つ、高度に洗練されたマルウェアです。
SnakeのMac版は今週の初め、"Install Adobe Flash Player.app.zip"という名前の、Adobe Flash Playerのインストーラーに偽装した形で発見されました。一見正規のインストーラーのように見えますが、署名は不正なものだったようです
実行するとAdobe Flash Playerを実際にインストールするのに加え、追加でMacにバックドアを仕掛ける動作を行います。結果以下に示す不正なファイルがインストールされてしまうようです。
/Library/Scripts/queue /Library/Scripts/installdp /Library/Scripts/installd.sh /Library/LaunchDaemons/com.adobe.update.plist
Appleはすでに不正な署名を無効化していますが、感染したかどうかをチェックしたい場合、無料でSnake for Macを検出・削除できるMalwarebytes for Macを使用することができます。また感染は以下のファイルが存在するかどうかでもチェック可能です。
- /Library/Scripts/queue
- /Library/Scripts/installdp
- /Library/Scripts/installd.sh
- /Library/LaunchDaemons/com.adobe.update.plist
- /var/tmp/.ur-*
- /tmp/.gdm-socket
- /tmp/.gdm-selinux