「Mac OS X」を狙う新しいトロイの木馬「SabPub」--「Word」ファイルを通じて感染か

　Kaspersky Labのセキュリティ研究者Costin Raiu氏は現地時間4月14日、「Mac OS X」を狙う新たなトロイの木馬を発見したことを明らかにした。このマルウェアは「Backdoor.OSX.SabPub」（SabPub）という名前で、Javaエクスプロイトを使って「Mac」に感染すると、外部のウェブサイトに接続し、スクリーンショットの撮影やコマンド実行などの指示を待つという。

　Raiu氏はKaspersky Labの公式ブログSecurelistの中で、「このJavaエクスプロイトはごくありふれたもののようだが、高機能で柔軟性に優れたJavaオブファスケータ（難読化ツール）『ZelixKlassMaster』を利用して難読化されている。その目的がマルウェア対策製品に検出されないようにするためであること明らかだ」と述べている。

　それでなくともMacユーザーは、世界中で60万台を超えるMacに感染したというトロイの木馬「Flashback」に神経をとがらせている。

　また、Raiu氏は翌15日に続報となる記事を投稿し、SabPubがFlashbackと異なる点をもう少し詳しく説明している。それによると、SabPubには現時点で2つの亜種が出回っており、そのうちの1つは2月に発見されたものだという。このマルウェアは標的型攻撃によって広まっていると見られるため、Flashbackのように大規模な侵入を行う能力はないはずだという。

　さらに、Raiu氏はこのマルウェアについて、Mac版「Microsoft Office」に存在するスタックベースのバッファオーバーフローに関連する脆弱性（CVE-2009-0563）を突く「Word」ファイルを通じて広まっていると伝えている。

　Raiu氏はブログの中で次のように述べている。「最も興味深いのは、SabPubの2つ目の亜種の履歴だ。収集したウイルスを調査したところ、これには『8958.doc』という名前が付いている。このことから、この亜種はWord文書から取り出されたか、『.doc』ファイルとして広まったと推測される」