Mac OS X用rootkit 「Opener」発見される

Mac OS X用rootkit 「Opener」発見される 23

ストーリー by Oliver 2004年10月26日 16時49分
welcome-to-the-real-world 部門より

yanagi曰く、"Mac OS Xで動作するrootkitが見つかった。Macintouchによるとopenerはbashスクリプトで記述されており、/Library/StartupItems/に登録される。Acitivity Monitorを使用すると「John」というパスワードクラッカーの実行が確認されたそうだ。
機能は盛りだくさんで、ログ消去、キーロガー、バックドアなど様々な機能を持ち、接続された全てのドライブに自身のコピーを作成する。ohphoneXをインストールしWebCamを垂れ流す。VNCを入れる。MD5のパスワードを解析する。ほかにも様々な機能がありユーザに及ぼす被害は計り知れない。"

自動で他のマシンへ移動する機能はなく、このrootkitが検出された場合はセキュリティホールなどを突いてネットワーク経由で侵入したクラッカーによりインストールされた可能性が高い。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索23コメント Log In/Create an Account

ありがちパスワード (スコア:4, 参考になる)

by flutist (16098) on 2004年10月26日 17時30分 (#642584)

Macintouchのリンク先からJohn the Ripperのページに行くとそのソースがありますが、ソースには、1990年代中頃のありがちなパスワードのリストが含まれていて、リストの冒頭には以下のようなコメントがあります。

a list of passwords most commonly seen on a set of Unix systems in mid-1990's, sorted for decreasing number of occurrences.

Most commonly なパスワードは12345でした。後にabc123、password、passwd、123456と続きます。見た感じ、やはり人名（英語の）が多いようです。

とりあえず、自分のパスワードが出てきちゃうかどうか試してみようかな。
- Re:ありがちパスワード (スコア:1, おもしろおかしい)
  
  by Anonymous Coward on 2004年10月26日 18時51分 (#642631)
  
  hogehogeがあったら大変なことに！
  #すみませんリスト見てません…
  
  シェア
  
  親コメント
  - Re:ありがちパスワード (スコア:0)
    
    by Anonymous Coward
    
    ありません・・・・
    
    安心して使えるようです^^;
    - 逆説 (スコア:0)
      
      by Anonymous Coward
      
      > ありません・・・・
      > 安心して使えるようです^^;
      
      そう言った瞬間に安全でなくなる罠。
      hogehogeはもうやめましょう(笑) > 心当たりのある人
UNIX/Linuxでは (スコア:2, 参考になる)

by JnJ (23012) on 2004年10月26日 17時15分 (#642578) ホームページ

コレと同じようなタイプのrootkitが存在するんでしょうか？
微妙に気になる。

--
LAN内LAN稼働中
- Re:UNIX/Linuxでは (スコア:4, 興味深い)
  
  by sasa (2343) on 2004年10月26日 17時46分 (#642591) ホームページ
  
  同じようなタイプ、というのがどういう意味を指しているかにもよりますが、シェルスクリプト一発みたいなrootkitは packet storm [packetstormsecurity.org]とか探せばいくらでも出てきますよ。
  LinuxだとLKM(Loadable Kernel Module)をいじって自分自身を隠蔽するタイプのrootkitがあって結構邪悪なんですが、今回のやつはそのタイプではなさそうですね。
  
  シェア
  
  親コメント
- Re:UNIX/Linuxでは (スコア:3, 興味深い)
  
  by bakuchikujuu (16666) on 2004年10月27日 0時35分 (#642855) ホームページ日記
  
  ～rootkitを検出するために～
  連載：インシデントレスポンスはじめの一歩
  第1回攻撃手法の代表格「バックドア」と「トロイの木馬」と「rootkit」を知る [atmarkit.co.jp] が参考になるかと。
  
  シェア
  
  親コメント
  - Re:UNIX/Linuxでは (スコア:0)
    
    by Anonymous Coward
    
    インポテンツに見えた
Symantecは対応済みですね。 (スコア:2, 参考になる)

by SaySet (18192) on 2004年10月26日 17時38分 (#642589) 日記

Symantecのサイト [symantec.co.jp]によると、10/23付けのLive Updateで対応済みということですね。

早速チェックしてみなきゃ。
- Re:Symantecは対応済みですね。 (スコア:2, おもしろおかしい)
  
  by Anonymous Coward on 2004年10月26日 17時55分 (#642597)
  
  現時点(10/26 17:00)のNorton AntiVrus for Macは，検知してくれませんでした。
  調べてみたら，Mac版の定義ファイルは10/21版のまま。
  MacのモノなのにWindows版だけ先にとは，相変わらずです。
  
  シェア
  
  親コメント
  - えーとこれは (スコア:0)
    
    by Anonymous Coward
    
    virtualPCでwindowsを走らせてチェックしろってこと？
    - Re:えーとこれは (スコア:0)
      
      by Anonymous Coward
      
      ネタだろうけど一応。
      
      VirtualPCのゲスト側WindowsからホストのMacは見えませんよ。
      - Re:えーとこれは (スコア:0)
        
        by Anonymous Coward
        
        ボリュームごと共有すれば見れるんでは？
        チェック前にWinのウィルスにやられちゃいそうだけど。
違うのでは (スコア:2, すばらしい洞察)

by TamanegiSwordsman (24244) on 2004年10月26日 21時57分 (#642729)

＞セキュリティホールなどを突いてネットワーク経由で侵入したクラッカーによりインストールされた可能性が高い
　
違うように思います。
あなたの事を憎んでいる同僚とか、あなたのことが嫌いな部下とか。
そういう人たちが犯人となることのほうが多いのではないでしょうか。
身に覚えがある人は、気をつけてください。
- Re:違うのでは (スコア:1)
  
  by nInfo (14824) on 2004年10月26日 23時21分 (#642801)
  
  肝心なことは管理者権限が無いとインストールして実行するように出来ないと
  いうことですね。単純なパスワードにしたり誰でも分かる場所に書いておいたり
  という基本的なセキュリティホールを作らないことでしょう。
  
  シェア
  
  親コメント
- Re:違うのでは (スコア:1)
  
  by shadowin (23191) on 2004年10月26日 23時24分 (#642803)
  
  メールに添付して送りつけ、本人に実行させるって方法は？
  
  シェア
  
  親コメント
  - Re:違うのでは (スコア:0)
    
    by Anonymous Coward
    
    /System/Library/StartupItems/ は root じゃないと書けないし．
    本人が実行してもやっぱり管理者権限がないから無理でしょう？
    せいぜい出来ても cd ; rm -rf * ぐらいでしょ？
C|Net (スコア:1, 参考になる)

by Anonymous Coward on 2004年10月26日 17時10分 (#642577)

Macにはめずらしいシェルベースのマルウェア見つかる [cnet.com]
- ITmedia (スコア:2, 参考になる)
  
  by morohe (18573) on 2004年10月26日 17時15分 (#642579)
  
  ソフォス、Mac OS Xに感染するワーム「Renepo」に警告 [itmedia.co.jp]
  
  シェア
  
  親コメント
  - どうせだからInternetWatchの記事も (スコア:2, 参考になる)
    
    by morohe (18573) on 2004年10月26日 18時21分 (#642614)
    
    ソフォス、Mac OS Xに感染するウイルス「Renepo-A」を警告 [impress.co.jp]
    
    #OS X使ってないヒト。
    
    シェア
    
    親コメント
  - Re:ITmedia (スコア:0)
    
    by Anonymous Coward
    
    (^^)＜れねぽ
Openerだけに... (スコア:0)

by Anonymous Coward on 2004年10月26日 23時44分 (#642817)

外からShellを開けるのは簡単なんでしょうね。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

Mac OS X用rootkit 「Opener」発見される 23

Mac OS X用rootkit 「Opener」発見される More ログイン

ありがちパスワード (スコア:4, 参考になる)

Re:ありがちパスワード (スコア:1, おもしろおかしい)

Re:ありがちパスワード (スコア:0)

逆説 (スコア:0)

UNIX/Linuxでは (スコア:2, 参考になる)

Re:UNIX/Linuxでは (スコア:4, 興味深い)

Re:UNIX/Linuxでは (スコア:3, 興味深い)

Re:UNIX/Linuxでは (スコア:0)

Symantecは対応済みですね。 (スコア:2, 参考になる)

Re:Symantecは対応済みですね。 (スコア:2, おもしろおかしい)

えーとこれは (スコア:0)

Re:えーとこれは (スコア:0)

Re:えーとこれは (スコア:0)

違うのでは (スコア:2, すばらしい洞察)

Re:違うのでは (スコア:1)

Re:違うのでは (スコア:1)

Re:違うのでは (スコア:0)

C|Net (スコア:1, 参考になる)

ITmedia (スコア:2, 参考になる)

どうせだからInternetWatchの記事も (スコア:2, 参考になる)

Re:ITmedia (スコア:0)

Openerだけに... (スコア:0)

スラド