60万台以上が感染した「Flashback」、パソコンが感染しているか?調べる。

60万台以上のMacが感染したと推定されるトロイの木馬「Flashback」。多くの亜種も作られたために、さらに被害が広がりました。JAVA脆弱性に対して攻撃されており、感染しても気づきません。 appleがJAVAのアップデートプログラムを配信していましたが、Oracleから脆弱性対応セキュリティパッチがリリースされた後、appleから配信されるまでタイムラグがありました。

このスキをマルウェアに狙われました。 これらの結果が被害を大きくした原因です。Macでいままで一番被害が広がったマルウェアです。感染しているか?わからない場合、かんたんに確認できます。今すぐ確認しましょう。

コンソールのコマンドで確認

コンソールでコマンドを入力することで、感染の有無がわかります。感染チェックのWebサイトもあるようですが、コンソールでの確認が確実です。万が一、感染していたら、駆除ツールがAppleから配布されています。ツールを使い駆除します。これは後で詳しく説明します。

>>apple「Flashback マルウェアについて」を読む

コンソールから3つのコマンドを入力して、感染の有無を調べます。

”ユーティリティ”から”ターミナル”を起動します。

以下の3つのコマンドをターミナルに入力します。それに対して、戻値(文字列)が表示されたら、感染していません。文字列の最後に”does not exist”があります。

調べる操作は2つの段階に分かれます。

第一段階

戻値(文字列)が示したものならば感染していません。戻値(文字列)が出なかった場合は、感染の疑いがあるので、第二段階を行います。

  1. Safari
      • 入力:defaults read /Applications/Safari.app/Contents/Info LSEnvironment
      • 戻値:The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist
  2. Firefox
      • 入力:defaults read /Applications/Firefox.app/Contents/Info LSEnvironment
      • 戻値:The domain/default pair of (/Applications/Firefox.app/Contents/Info, LSEnvironment) does not exist
  3. Chrome
    • 入力:defaults read /Applications/Chrome.app/Contents/Info LSEnvironment
    • 戻り値:The domain/default pair of (/Applications/Chrome.app/Contents/Info, LSEnvironment) does not exist

第二段階

SafariとFirefoxのコマンドは同じですが、Chromeは違うコマンドを実行するので注意してください。

第一段階で、Safari・Firefoxで戻値(コメント)が戻ってこなかった場合は下のコマンドを実行する。

defaults read /Applications/Safari.app(Firefoxの場合は”Firefox.app”)/Contents/Info LSEnvironment

 

第一段階で、Chromeで戻値(コメント)が戻ってこなかった場合は下のコマンドを実行する。

defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

 

感染している場合は、「DYLD_INSERT_LIBRARIES = 」の文字列の後にファイルパスが表示されます。メモに記録してください。 そのメモを使って下記のコマンドを実行します。

grep -a -o ‘__ldpath__[ “ファイルパス”]*’ (半角スペースの後に表示されたファイルパスを記述)

駆除方法

作業前にデータのバックアップを必ず行います。

もっとも確実なのは、OSのクリーンインストールです。亜種が多く存在するのでこの方法が確実です。

2番目は、感染したタイミングが把握できている場合、タイムマシーンでそれ以前に戻します。その後、先ほどの確認コマンドを入力して、感染していないことを確認します。

3番目はこのまま駆除します。

apple Java for OS X Lion 2012-003を適用します。 
その後、上の確認コマンドを実行して感染していないことを確認します。

>>apple Java for OS X Lion 2012-003へ行く

参考:MacFanトロイの木馬「Flashback」に感染しているかを調べたい

脆弱性へのセキュリティパッチアップデートは確実に

JAVAの脆弱性とappleがセキュリティパッチを公開するまでのタイムラグがあることを狙ったマルウェアが、「flashback」でした。Macで最大の被害となる60万台以上の感染だと推測されています。

感染しているか?わからない場合、かんたんに上の方法で確認できます。今すぐしましょう。2012年8月、今後のJAVAアップデートはOracleから直接に配信され、自動更新される発表がありました。タイムラグによる被害の拡大を防ぐことが期待されています。

>>OracleからのJAVAアップデート 記事を読む

脆弱性へマルウェアからの攻撃はイタチごっこです。そんな脆弱性に対しても対応したセキュリティソフトがノートンインターネットセキュリティ

です。有料ですがその価値はあります。さらなる対策を求められる方にはおすすめします。3年間のライセンスパックでこの価格はお買い得です。導入をおすすめします。

ClamXav App
カテゴリ: ユーティリティ
価格: 無料

VirusBarrier Plus App
カテゴリ: ユーティリティ
価格: ¥850

この記事を書いた人