ページ内ジャンプ:

スラッシュドット・ジャパン 全文検索

アレゲなニュースと雑談サイト

Mac OS X向けに、新しいトロイの木馬

Acanthopanaxによる 2004年05月13日 6時59分の掲載
ソフトは信頼できるところから部門より。
MacOSX セキュリティ

Macworld UKが、読者からの情報として、Mac OS X向けの新しいトロイの木馬について報じている。このトロイの木馬は、Word 2004 for Macを偽装しているが、実行するとホームフォルダが完全に消去されるという。P2Pファイル共有のLimewireからダウンロードしたものだとのこと。
この情報を提供されたセキュリティソフト会社のIntegoが、既にセキュリティ警告を出している。それによると、このトロイの木馬(AS.MW2004.Trojan)はOffice 2004のインストーラ(このあたりの情報はMacworldの記事とは異なる)に似たアイコンを持っているが、実体はAppleScriptアプレットであるとのこと。

本家でもストーリーができている。

関連ストーリー

セキュリティ: BUFFALOのUSBメモリにウイルス混入 18 コメント
Mac OS Xに、また新たなトロイの木馬 64 コメント
この議論は賞味期限が過ぎたので、保存されている。 新たにコメントを書くことはできない。
Mac OS X向けに、新しいトロイの木馬 | ログイン/アカウントの作成 | 27 個のコメント | コメント検索
表示オプション しきい値:

  • 対岸の火事を笑っていられない (スコア:2, 興味深い)

    tyosh (12371) : 2004年05月13日 8時17分 (#546870)
    Macworld UK より:
    "I downloaded the file in the hope that perhaps Microsoft had released some sort of public beta. ..."
    おまえはホントにパブリックベータが狙いだったのかと。

    それはさておき、OS Xは安全ではない [techworld.com]という意見もありますし(この先マックのシェアがどうなるかはわかりませんが)OS9までと比べたら攻撃する側もUnix全般の攻撃の手口を利用できる訳ですから、これからこうしたウイルス・ワーム・トロイが増えてくるのかもしれませんね。

    • Re:対岸の火事を笑っていられない (スコア:2, 興味深い)

      nInfo (14824) : 2004年05月13日 12時09分 (#547031)
      Mac OS Xだからじゃないですよね。AppleScriptはMac OS 9以前でも
      利用出来る訳で、アイコン偽装しただけダブルクリックしてしまうなら、
      Mac OS 9の場合は簡単にFinderすらゴミ箱行きに出来るので脆弱です。

      こんな古典的なものに引っかかるのはやはり、P2Pで違法ソフトを
      ダウンロードして使おうとするからでしょ?メーカのインストーラが
      感染してたとかではないので、流行するような問題にはなりませんね。

  • Symantecの情報 (スコア:2)

    nInfo (14824) : 2004年05月15日 1時53分 (#548350)
    インストーラを偽装というので、パスワードを入力させてAdministrator権限
    を使わせるのだと思っていましたが、そうではないのですね。

    > It is actually a compiled AppleScript, which, when launched under OS X,
    >performs the UNIX shell command:
    >
    > rm -rf ~
    >
    > This command attempts to delete the current user's home directory
    >and its contents immediately. Deleting the home directory for most
    >users is not possible.

    http://securityresponse.symantec.com/avcenter/venc/data/as.mw2004.troj... [symantec.com]

    当たり前のことが当たり前のように書いてあるだけですが...

  • Re:回避策 (スコア:1, 参考になる)

    Anonymous Coward : 2004年05月13日 9時49分 (#546915)
    正体を偽ってコンピュータへ侵入し、データ消去やファイルの外部流出、他のコンピュータの攻撃などの破壊活動を行なうプログラム。トロイの木馬はコンピュータウイルスのように他のファイルに寄生したりはせず、自分自身での増殖活動も行わない。
    IT用語辞典 e-Words [e-words.jp]
    だからトロイでいいのか。P2Pで落とした怪しげなファイルは実行しないことかな。
    本家ではネタみたいなことばかり書いてあるけど。

  • Re:回避策 (スコア:2, 参考になる)

    Gururi (14221) : 2004年05月13日 11時14分 (#546983) ホームページ 日記
    alias rm='rm -i'
    とした状態で
    rm -rf hoge
    ってすると確認無しで消えると思います。提示リンク先のリプライにも書いてありますし、manによると
    The -f option overrides any previous -i options.
    って書いてありますね(そして実際そのとおりに動いているように見えます)。rmをrm -iにaliasしても、-fをそのうしろに付けられたらアウトです。rm -i -rfはrm -rfと同じ。
    #そもそもフルパスで呼ばれたらアウトでは。
    んじゃどうするかって話ですが、chmod o-rx /bin/rmするくらいしか思いつかないです。
    #削除するときはsudo rmするということで。一般ユーザはrm禁止:-)
    それ以前にP2Pで拾った怪しいファイルを開くなよ、って話ではありますが:-)
    --
    ぐるり@はてダ開始 [hatena.ne.jp]

  • Re:回避策 (スコア:1)

    hiropbg4 (15084) : 2004年05月13日 12時08分 (#547030)
    回避策ではないですが、Finderをリスト/カラム表示にしておけば、さすがに今回のような奴はデータサイズが小さいのが分かってあれって思うかもしれませんね。
    まぁ、アプリケーションバンドルの中に無駄ファイルをパディングされたら意味なしですが^^;
    • Re:回避策 by ayasama (スコア:1) 2004年05月14日 16時23分

  • Re:回避策 (スコア:1)

    flutist (16098) : 2004年05月13日 12時22分 (#547042)
    AppleScriptがログイン・シェルを通じてコマンドを実行するなら、それも効果があるかもしれませんが、システムコールでexecとかspawnとかしてるなら、回避できないと思います。

    /bin/rmを他の名前に変えちゃって、rm -iなシェル・スクリプトを/bin/rmにしちゃえば大丈夫でしょう。もしくはせっかくopen sourceなので、rmコマンドのソースをちょこっといじって、デフォルトを-iオプション付きにしちゃうとか。
    • Re:回避策 by Gururi (スコア:1) 2004年05月13日 12時37分
      • Re:回避策 by flutist (スコア:1) 2004年05月13日 13時33分
    • Re:回避策 by Anonymous Coward (スコア:1) 2004年05月13日 14時58分
      • >rmだけでファイルを消せなくしたければ,情報を見るからファイルをロックです。
        ちょい補足。Finderでは表示されないドットファイルに対しては、コマンドラインから
        /Developer/Tools/SetFile -a L ファイル名
        でロックできます(要Developer Tools)。外すときは
        /Developer/Tools/SetFile -a l ファイル名
        で。
        #TinkerToolsとかで表示させるという手もあるか。
        --
        ぐるり@はてダ開始 [hatena.ne.jp]
      • Re:回避策 by flutist (スコア:1) 2004年05月13日 23時49分

  • Re:インストーラだと偽られると (スコア:2, すばらしい洞察)

    halo (12510) : 2004年05月13日 22時37分 (#547548) 日記
    インストーラだと偽って実行させるという部分は、たしかに
    技術的というより人間的なクラックですからね。その部分は
    同意します。

    これのMac特有な部分というのは、
    ・簡単なAppleScriptで十分なので、悪質なソフトをCとかで
     書くより簡単にできてしまう。
    ・それをアイコン偽装で見破られないようにしているが、それは
     Mac特有の機構を悪用している。しかもこれも簡単にできる。
    ってところじゃないかと。

    技術的対策としてはアイコン偽装を防ぐことだと思うんですが、
    これって根が深いというか歴史が長いというか、意外にやっかい
    な問題のような気がします。
  • P2Pで落とした怪しいもしくは
    ライセンス的に不正なインストーラーをつかわなければいいだけでは?
    清く正しい人は自然と実行していると思います。
    オープンソース系やWeb配付のフリーウエアはどうすんの、と言われそうですが
    そもそもそれは「配付場所が脆弱にならないように気をつける」という対処で
    済むはずです。
  • 2個のコメント が現在のしきい値以下です。

このページのすべての商標と著作権はそれぞれの所有者が有します。 コメントやユーザ日記に関しては投稿者が有します。
のこりのものは、© 2001-2010 OSDN です。