トロイの木馬に感染していたが,果たしてそれが原因かは不明.
22/05/10 23:37 Category: Spam&Phishing | Virus
なんてこったい!!
職場のメールサーバのpostmasterから,わしのMacOS 10.6のマシンから大量のsmtpへのアクセスがあったとの警告を受けた.
ゾンビマシンにされたってこと?!
なんてこったい!!
怪しいサイトから変なファイルをダウンロードした覚えも無いし,アンチウイルスソフト(ClamXav とiAntiVirus )にファイアウォール(NetbarrierX5,現在はVirusBarrier X6に機能統合)も入れている.Snow Leopard自身もファイヤウォールを装備しているし,常時アップデートはしている.しかも,かなり軽快に動いていただけに,びっくり.
そもそも,Macでウイルス感染も珍しい.
ClamXavとiAntiVirusでスキャンしたが,感染ファイルは無し.
で,いまやたらとキャンペーンをやっているKaspersky for Macの体験版をダウンロードして,スキャンしてみた.
・・・と,出てきたよ.2つ.
出てきたトロイの木馬の情報はこちら.
Exploit.HTML.Iframe.FileDownload - Securelist
Exploit.HTML.Iframe.FileDownloadTrojan-Spy.HTML.Fraud.gen
これらはWindowsのIEの脆弱性を狙うトロイの木馬だそうで,Macでは何かするのか?!
発見されたのは,どちらも現在使っていない職場メールアカウントのインボックスから.しかもスパムメールである.このアカウントが使用停止になる前には居たわけで,そうなるとかなり前からInboxにいた事になる.
スパムメールは一両日でpopサーバからも消去してる筈なのだが,Mail.appからpopサーバへの消去のコマンドが行かないように出来るんだろうか,
で,バックアップもスキャンしたら,同じのが出て来る出て来る.
もう恐ろしいし,怖いのでInBoxごと削除.
実は・・・OS10.5から10.6マシンへTime machineでデータを移行して間もなく,ClamXavがメールインボックスから「脅威」を検出していた.それも現在使っていない職場メールアカウントのもの.
隔離して削除をしても,同じ番号のメールが検出され,隔離と消去を数日間繰り返していたのだが,ここんところ警告も無く,ClamXavでフルスキャンしてもウイルスは検出されなかったので安心していたのだった.
InBoxを消去して,KsperskyとClamXavとiAntiVirusと,序でにVirusBarrierX6にアップグレードしてフルスキャンしてみたところ,何も検出されず.
smtpへの大量発信は一度だけで,postmasterからもsmtpへのアクセスは現在通常通りに激減したとの連絡を受け,とりあえずこれで様子見.
とはいえ,検出された木馬がsmtpアクセスの原因かは不明.上述のファイルがOS10.6でトロイの木馬になり得るのかも知らぬ.ネットで調べてみたが,上記二つの木馬が,OS10.6で悪さをするという報告も今の所見つけていない.
可能性が高いのはParallels DesktopのXPか.こっちでメールは使ってないし,起動も殆どしていないけど.だからsmtpアクセスの頻度が高くなかったのかも.IE使ってないけどね.
ClamXavで検出されたモノと今回のモノが同じ木馬かも今となっては不明だが,10.6では悪さして,10.5では動かないモノなのかもしれない.消しても消しても検出されたと言うことは,中で何かやっていたんだろうなあ.
で,結論.NetBarrierX6,ClamXavとiAntiVirusはWindows向けのトロイの木馬は対象外か,弱い.Macのウイルスしか検知してくれないんだな.最初検知しただけClamXavはましか.
試しにバックアップしたウイルスを復元し,どのウイルス対策ソフトが検知するか試してみたが,カスペルスキーが真っ先に隔離した.
エミュレータを使っている人は,Kaspersky for Macですかね.Windowsと同じ価格で1台だけインストール可能ってのが,2台以上使っている人には玉に瑕ですが.
関連エントリ:
Virus email
職場のメールサーバのpostmasterから,わしのMacOS 10.6のマシンから大量のsmtpへのアクセスがあったとの警告を受けた.
ゾンビマシンにされたってこと?!
なんてこったい!!
怪しいサイトから変なファイルをダウンロードした覚えも無いし,アンチウイルスソフト(ClamXav とiAntiVirus )にファイアウォール(NetbarrierX5,現在はVirusBarrier X6に機能統合)も入れている.Snow Leopard自身もファイヤウォールを装備しているし,常時アップデートはしている.しかも,かなり軽快に動いていただけに,びっくり.
そもそも,Macでウイルス感染も珍しい.
ClamXavとiAntiVirusでスキャンしたが,感染ファイルは無し.
で,いまやたらとキャンペーンをやっているKaspersky for Macの体験版をダウンロードして,スキャンしてみた.
・・・と,出てきたよ.2つ.
出てきたトロイの木馬の情報はこちら.
Exploit.HTML.Iframe.FileDownload - Securelist
Exploit.HTML.Iframe.FileDownloadTrojan-Spy.HTML.Fraud.gen
これらはWindowsのIEの脆弱性を狙うトロイの木馬だそうで,Macでは何かするのか?!
発見されたのは,どちらも現在使っていない職場メールアカウントのインボックスから.しかもスパムメールである.このアカウントが使用停止になる前には居たわけで,そうなるとかなり前からInboxにいた事になる.
スパムメールは一両日でpopサーバからも消去してる筈なのだが,Mail.appからpopサーバへの消去のコマンドが行かないように出来るんだろうか,
で,バックアップもスキャンしたら,同じのが出て来る出て来る.
もう恐ろしいし,怖いのでInBoxごと削除.
実は・・・OS10.5から10.6マシンへTime machineでデータを移行して間もなく,ClamXavがメールインボックスから「脅威」を検出していた.それも現在使っていない職場メールアカウントのもの.
隔離して削除をしても,同じ番号のメールが検出され,隔離と消去を数日間繰り返していたのだが,ここんところ警告も無く,ClamXavでフルスキャンしてもウイルスは検出されなかったので安心していたのだった.
InBoxを消去して,KsperskyとClamXavとiAntiVirusと,序でにVirusBarrierX6にアップグレードしてフルスキャンしてみたところ,何も検出されず.
smtpへの大量発信は一度だけで,postmasterからもsmtpへのアクセスは現在通常通りに激減したとの連絡を受け,とりあえずこれで様子見.
とはいえ,検出された木馬がsmtpアクセスの原因かは不明.上述のファイルがOS10.6でトロイの木馬になり得るのかも知らぬ.ネットで調べてみたが,上記二つの木馬が,OS10.6で悪さをするという報告も今の所見つけていない.
可能性が高いのはParallels DesktopのXPか.こっちでメールは使ってないし,起動も殆どしていないけど.だからsmtpアクセスの頻度が高くなかったのかも.IE使ってないけどね.
ClamXavで検出されたモノと今回のモノが同じ木馬かも今となっては不明だが,10.6では悪さして,10.5では動かないモノなのかもしれない.消しても消しても検出されたと言うことは,中で何かやっていたんだろうなあ.
で,結論.NetBarrierX6,ClamXavとiAntiVirusはWindows向けのトロイの木馬は対象外か,弱い.Macのウイルスしか検知してくれないんだな.最初検知しただけClamXavはましか.
試しにバックアップしたウイルスを復元し,どのウイルス対策ソフトが検知するか試してみたが,カスペルスキーが真っ先に隔離した.
エミュレータを使っている人は,Kaspersky for Macですかね.Windowsと同じ価格で1台だけインストール可能ってのが,2台以上使っている人には玉に瑕ですが.
関連エントリ:
Virus email
新着情報
