> >

「Mac OS X がターゲットの新しいトロイの木馬 OSX.RSPlug.A Trojan Horse」で紹介した Mac OS X ターゲットのトロイの木馬に新種が現れたそうです。

Intego の NetBarrier X4 をお持ちの方は NetUpdate で最新のウィルス定義(11月22日版)に更新した上で「VirusBarrier X4 Definitions」を選択してみてください。下の欄に「OSX.RSplug.B」と出てくるはずです。

「The Mac Security Blog » Post Topic » New Variant of RSPlug Trojan Horse」によるとこの新種は、脅威となる仕掛けを仕込むスクリプトが暗号化されているそうです。このため暗号化されたマルウェアを検知できないウィルス対策ソフトでは対応のしようがないと述べられています。

後半は暗号化がどのようにされているのかによります。暗号化してあっても一定のパターンであればほとんどのウィルス対策ソフトは対応可能です。毎回全ての検体が必ず違うコードになるように暗号化されているとなると、その暗号化の仕組みそのものを破るか、暗号化に使用されたパスフレーズや秘密鍵を知らなければ無理でしょう。

そう云う厄介なのはですね、厄介なところで戦っては駄目です。どう暗号化されていようと暗号化を解除しなければ使えないわけですから解除されたところを発見してやればよいのです。

上の Intego の記事では its installation script is encrypted と言っていますから、インストールされたものが暗号化されているわけではありません。インストールされるとき、あるいはその後で検知可能です。インストール後に検知というのもタイミングが遅いですから、ディスクに書き込まれるときにその内容をいちいちチェックするリアルタイムなチェクができる製品がないと安心できませんね。

それよりも怪しいものをダウンロードしなければいいのです。例えば RSPlug の場合、それをダウンロードさせるために http://celebrities-nude-movies.info/jessica-alba/04.jpg のような画像を使用しています。こういうのを見つけたらスルーです。ウハウハ言いながら Quick Time のプラグインが必要だからこれをダウンロードしろというのに従ってダウンロードなんかしないでくださいね。

暗号化について思いつきました

昨日 ClamdOmitScan の次のバージョンのテストをしていて気付きました。ここで言っている暗号化ってきっと dmg ファイルをマウントするときにパスワードが求められるそういう奴のことですね。

そのパスワードの要求を回避することはできず、そのままだと dmg ファイルそのものではなくデータ内容が暗号化されています。dmg ファイルを作るときにパスワードを変えることで、内容が同じでも生ファイルとしては幾らでも違うものを作れますから、攻撃側にとってはお手軽なスキャナー対策になります。

でもそれが実際に脅威になるのはユーザがパスワードを入れてマウントされた後なので、そのときに捕まえればいいというのには変わりないです。リアルタイムスキャナーが無くても、dmg ファイルをマウントしたらそのマウント先をスキャンすればいいですね。