Mac狙いのマルウェア、感染マシンの制御にTwitterを利用

 Mac専門のウイルス対策ソフトメーカーIntegoは3月5日、Macに感染するマルウェア「Flashback」が感染先のマシンを制御するためにTwitterを利用していることが分かったとブログで伝えた。

 同社によると、マルウェアの多くはサーバを使って感染先のコンピュータに命令を出しているが、このやり方ではIPアドレスを突き止められてサーバがダウンさせられる可能性があった。

 これに対抗するためにFlashbackは、サーバではなくTwitterを利用しているという。しかも特定のアカウントでは削除される可能性があるため、ハッシュタグを付けたツイートを毎日生成。このツイートは、検出を免れるために無作為の文字列で構成されているという。

 IntegoはFlashbackが使っていた128ビットのRC4暗号を解読してハッシュタグを生成する仕組みを解析し、感染したコンピュータがTwitterサイトにアクセスして、生成されたハッシュタグを検索していることも突き止めたとしている。

 ただ、過去のツイートは消去されていると見られ、Integoが探しても見つからなかったという。命令は毎日出されているわけではないとしながらも、Integoでは同マルウェアがHTTPリクエストを送信してツイートを参照しているのは明らかだとして警戒を呼びかけている。

ITmedia
http://www.itmedia.co.jp/enterprise/articles/1203/06/news060.html