Doctor WebはBackDoor.Flashback.39をいつ発見しましたか?
BackDoor.Flashbackは、2011年10月から知られています。BackDoor.Flashback.39は、2012年3月27日にDr.Webウイルスデータベースに追加されました。
BackDoor.Flashback.39にどのようにしてシステムは感染しますか?
システムがBackDoor.Flashback.39に感染するには、2つの単純な条件が満たされていなければなりません。システムにJava仮想マシンがインストールされており、ブラウザで感染したWebページをロードする必要があります。これは、特別に設計された悪意のあるWebページ、またはウイルス作成者がアクセスできる脆弱なリソースにすることができます。埋め込まれた悪質なコードにより、Javaアプレットを読み込みます。アプレットはJavaの脆弱性を悪用し、実行ファイルとその起動を担当する.plistファイルをハードドライブに保存します。その後、アプレットは保存された設定ファイルを起動したサービスに転送し、ユーザーが操作することなくトロイの木馬を実行できるようにします。実際には、ユーザーは何も気付かずにブラウザでWebページを表示している間にMacは既にマルウェアに感染しています。
使用しているブラウザに関係なく、システムが感染する可能性はありますか?
はい、どのブラウザを使用するかは関係ありません。 Java Virtual Machineがインストールされていて、Appleのセキュリティアップデートをダウンロードしていない場合、システムは危険にさらされます。
トロイの木馬が侵入するためにパスワードを入力する必要がありますか?
いいえ、パスワードを入力する必要はありません。システムはユーザーの介入なしに勝手に感染します
管理者アカウントでmacOSを使用しない場合はどうすればいいですか?
それは無関係です。 BackDoor.Flashback.39は、悪意のあるタスクを実行するためにmacOS上で管理者権限を必要としません。
BackDoor.Flashback.39はウイルスですか? トロイの木馬ですか?
トロイの木馬とは異なり、ウイルスは自己複製が可能です。トロイの木馬は自己複製ができません。BackDoor.Flashback.39はトロイの木馬です。ユーザーの介入なしにシステムに侵入して感染させますが、ユーザーが悪意のあるWebサイトにアクセスしてプログラムをシステムに侵害させる必要があります。 しかし、この事実にもかかわらず、この脅威の重大さを過小評価しないでください。
Doctor Webはどのようにして最初にトロイの木馬を発見しましたか?
BackDoor.Flashback.39で使用されている脆弱性は、macOS上だけでなく、Windowsや他のオペレーティングシステムでも発見されています。2012年3月末に、Doctor Webのアンチウイルスラボに、攻撃者がこの脆弱性を悪用してWindowsの代わりにmacOSで悪意のあるソフトウェアを広めることが通知されました。悪意のあるサンプルが分析され、3月27日にウイルスデータベースに追加されました。しかし、ほどなくして、macOSでの別のJavaエクスプロイトベースの攻撃が報告されました。この情報により、アナリストは、Macマシンで構成されたボットネットが存在すると推測することができました。しかし、オペレーティングシステムとそのアーキテクチャの高い安全性を考えると、ボットネットは小さいと考えられていました。 Doctor Webのアナリストはこの仮説を検証することにしました。 現実はすべての想定を上回っています。
感染したコンピュータはどのようにカウントされましたか?
ボットネット内のホスト数を計算するために、ウイルスアナリストはシンクホール技術を採用しました。 BackDoor.Flashback.39は他の多くのトロイの木馬と同様に、コードに制御サーバーアドレスを含んでいません。その代わりに特別なルーチンを使用してドメイン名として生成します。アンチウイルス企業がトロイの木馬がこのような名前を選択するルーチンを習得すれば、利用可能なウイルスをブロックする場合、犯罪者は新しいコントロールサーバーを迅速に登録できます。さらに、このアプローチにより、侵入者は複数の制御サーバー間で負荷のバランスをとることができます。ボットネットが十分に大きくなると、1台のコマンドサーバーがネットワーク管理に対処できなくなる可能性があります。したがって、トロイの木馬は、見つけ出すことができるすべてのコントロールサーバーを一斉に照会します。 Doctor Webのアナリストは、BackDoor.Flashback.39で使用されたルーチンをリバースエンジニアリングしてドメイン名を生成し、そのような名前をいくつか登録し、これらのアドレスで独自の制御プログラムを実行しました。最初に、Doctor Webのアナリストが実行する制御サーバーと通信するいくつかのトロイの木馬がWindows下で動作する可能性があると示唆されましたが、Doctor Webのアナリストはそれが当てはまらないという証拠を発見しました。アンチウイルスラボによって特定されたすべてのボットは、macOSで動作していました。
ユーザーにとってBackDoor.Flashback.39の危険性は何ですか?
BackDoor.Flashback.39は、インターネットからダウンロードし、感染マシン上の他の実行可能ファイルを実行することができます。これは、攻撃者が選択した任意のプログラムに対して実行することができます。 したがって、MacはDDoSネットワークの一部となることも、侵入者がさまざまなサイトにアクセスするためのパスワードを盗むことも、システムにスニファやキーロガーをインストールしたり、フィッシング攻撃を仕掛ける可能性があります。このようなオプションは、基本的にウイルス作成者の想像力に依存します。
Apple Javaアップデートをインストールした場合、私のMacがBackDoo.Flashback.39から保護されていることを意味しますか?
いいえ。更新プログラムをインストールすると感染リスクはなくなりますが、マルウェアが既にコンピュータに侵入している場合は、更新プログラムは役立ちません。
自分のコンピュータがTrojan BackDoor.Flashback.39に感染しているかどうかを知るにはどうすればよいですか?
Doctor Webは、コンピュータが感染しているかどうかを確認するための特別なオンラインサービスを作成しています:https://www.drweb.co.jp/flashback 。 このサービスを使用するには、アップルコンピュータのUUIDを特別なフィールドに入力する必要があります。 このサービスは無料で提供されています。
私のコンピュータは感染しています! BackDoor.Flashback.39を削除するにはどうすればよいですか?
あなたはApp StoreのリンクからDr.Web for macOS Lightをダウンロードし、システムのフルスキャンを実行できます。 脅威が検出されると、自動的に削除されます。
BackDoor.Flashback.39の拡散によって利益を受けるのは誰ですか?
BackDoor.Flashback.39によって悪用された脆弱性は、長年にわたり一般によく知られています。攻撃者がこのユニークな機会を利用しなかったのは驚くべきことです。
macOSではアンチウィルスソフトウェアを使用する必要がありますか?
それはあなた次第です。 もちろん、Appleより製造されたオペレーティングシステムは、Windowsよりもマルウェアから保護されていますが、それでも100%の安全性はなく、BackDoor.Flashback.39の流行がそれを証明しています。MacユーザーはApp Storeからダウンロードし利用でき、お気に召さない場合には削除することができます。
