Mac狙いのトロイの木馬、研究者から身を隠す新機能を実装

Macに感染するトロイの木馬「Flashback」の亜種に、仮想マシンをチェックする機能が加わったという。

[鈴木聖子，ITmedia]

　Adobe Flash Playerのアップデートを装ってMacに感染するトロイの木馬「Flashback」の亜種に、仮想マシンをチェックする機能が加わったと複数のセキュリティ企業が伝えた。Macを狙ったマルウェアが高度化し、ユーザーや研究者をあざむくための複雑な手口を実装する傾向が進んでいるようだ。

　Flashbackはこの夏に発見された後、これまでに複数の亜種が出現している。セキュリティ企業のIntegoとF-Secureによれば、最近出現した亜種ではユーザーのMac OS Xが仮想環境で実行されているかどうかをチェックして、仮想マシンを検出した場合には活動を停止する機能が追加されたという。

　これは、セキュリティ研究者がマルウェアを調べる際に仮想環境を使う場合が多いことを見越して、分析を免れるための対策として取り入れられた機能とみられる。

　仮想環境の認識機能は、Windowsを狙ったマルウェアには普及しているが、Macに感染するマルウェアではまだあまり見つかっていなかったという。

　Integoはこうした手口について、「Macを狙ったマルウェアが高度化し、検出を免れるために手が加えられていることを物語るもの」と解説している。