新たなJavaアプレットマルウェア、実行環境に応じてMacとWindowsの両対応

　Javaの脆弱性を悪用してMacに感染を広げたマルウェア「Flashback」が記憶に新しいが、株式会社シマンテックは24日、新たな段階として、Javaアプレットマルウェアが確認されたことを同社の公式ブログで伝えた。MacとWindowsの両方を同時にターゲットにするものだ。

　Java SEのリモートランタイム環境に存在するDoSの脆弱性（CVE-2012-0507）を悪用するという攻撃経路は従来と同じだが、Javaアプレットが実行環境のOSをチェックし、その後、OSに応じたマルウェアをダウンロードするのが特徴。Windowsの場合は実行ファイル形式のドロッパー型トロイの木馬を、そうでない場合はMacをターゲットにしたPythonで記述されたドロッパー型トロイの木馬をダウンロードする。さらにいずれのドロッパーも、さらにバックドア型トロイの木馬をダウンロードし、感染マシンにバックドアを開く。

　シマンテックによると、Pythonはマルウェアの作成に広く使われている言語ではないが、Macにデフォルトでインストールされているため、Macで実行するには適しているのだという。

　Pythonで記述されたバックドア型トロイの木馬の主な機能は現在のところ、Pythonスクリプトを取得して実行することだけで、ファイルのダウンロード／アップロード、ファイルとフォルダーのリスト表示、リモートシェルのオープンなどの機能も備えていものの、現時点では無効になっているという。

　一方、Windows用のバックドア型トロイの木馬はC++で記述されており、リモートの攻撃者に、CPUやディスクの詳細、OSのバージョン、ユーザー名などの情報を送信する。また、ファイルのダウンロード・実行、またはシェルのオープンとコマンドの受信も行われる場合があるとしている。