McAfee for Small Businesses

ウイルス名 危険度 OSX/Puper.a 企業ユーザ: 低[要注意] 個人ユーザ: 低[要注意] 種別 トロイの木馬 最小定義ファイル (最初に検出を確認したバージョン) 5565 対応定義ファイル (現在必要とされるバージョン) 5684　（現在7084) 対応エンジン 5.2.00以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 OSX.RSPlug [ClamAV]OSX.RSPlug.A [Symantec]OSX.RSPlug.A [Symantec]OSX/Jahlav.C [eTrust]OSX/RSPlug-F [Sophos]OSX_RSPLUG.B [TrendMicro] 情報掲載日 2009/07/23 発見日（米国日付） 2009/03/26 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/22 W32/Virut.ge... 05/22 W32/Duel!962... 05/22 W32/Duel!EC1... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7084  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る -- 2009年7月22日更新 -- ・OSX/Puper.aのアップデート版が以下のURLでホストされています。 hxxp://video.report-{非表示}/Erin_Andrews_Peephole_Video ・OSX/Puper.aは感染したマシンのDNS設定を改変し、悪質なDNSサーバに向けさせます。現在の悪質なDNSサーバは以下のとおりです。 85.255.112.120 85.255.112.137 -------------- ・実行時、以下のメッセージを表示します。 ・ユーザが続行を選択すると、インストール場所を尋ね、以下のスクリーンショットのようにユーザの資格情報を要求します。 ・ルート権限を持つユーザが資格情報を提供した場合、OSX/Puper.aはそのユーザの資格情報で動作します。 ・以下のフォルダに自身のコピーをドロップ（作成）します。 /Library/Receipts ・さらに、以下のファイルをドロップします。 /Library/Internet Plug-Ins/AdobeFlash /Library/Internet Plug-Ins/Mozillaplug.plugin ・また、感染したマシンのDNS設定を改変し、悪質なDNSサーバに向けさせます。これにより、何も知らないユーザをフィッシングサイトにリダイレクトしたり、さらにマルウェアをダウンロードしたりすることができます。 ・以下はこのウイルス情報の作成時に確認されていた悪質なDNSサーバの一覧です。これだけにとどまらないことに注意してください。 85.255.112.210 85.255.112.99 ・さらに、crontabを更新し、以下のスクリプトを実行します。 /Library/Internet Plug-Ins/AdobeFlash ・スクリーンショットは以下のとおりです。 ・これにより、悪質なDNSエントリが変更された場合、元に戻されるようにします。 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る 上記のファイルが存在します。 上記のcronジョブが存在します。 上記の偽のDNSサーバが存在します。 感染方法 TOPへ戻る ・OSX/Puper.aはHDTVプレーヤーを装って配信されています。悪質なWebサイトを訪れたユーザは、ファイルがユーザにとってメリットがあるという誤った前提により、OSX/Puper.aをダウンロードしてインストールする可能性があります。 ・インターネットブラウザのユーザエージェントの設定によっては、Webサイトにアクセスすると、OSX/Puper.a以外のマルウェアが提示されます。 駆除方法 TOPへ戻る ■最新のエンジンとウイルス定義ファイルの組み合わせで、検出・駆除してください。McAfee Labs は、見慣れたもしくは安全に見えるファイルアイコン（特に、ユーザーがファイルを共有できるP2Pクライアント、IRC、E-mailまたはその他のメディアから受け取ったファイルを）を信用しないことを推奨します。 Windows ME/XPでの駆除についての補足