今度のものは、OSX/Revir.A dropperによりインストールされるのではなく、この亜種スパムOSX/Imuler自身がZIPアーカイブや猥褻画像の中に紛れ込み、ユーザーが悪意のあるアプリケーションを起動するのを待っている形。
この新たな亜種スパムは、コマンド・アンド・コントロール(C&C)コミュニケーション及び機能性に関し、先代のスパムと非常に似ている。(OSX/Imulerはファイルやスクリーンショット等のデータを集め、遠隔サーバに転送できる情報漏洩装置である)ネットワーク・プロトコルは依然HTTPベースで、ペイロード(最大積載量)はzlibで圧縮されている。現在使用されている一切変更のできないドメインは新しく、中国人登録者経由で2012年2月13日に登録されたもの。ドメインは先代スパムと同一IPアドレス(在米国)を示しており、この記事を書いている時点でアクティブとなっている。
これらは全て新しいスパムがウイルスソフトチェックをより上手にすり抜けるための改良目的でリリースされたことを示すように思える。
OSX/Imuler は任意のローカルファイルをC&C へアップロードする機能を持っている。CurlUploadという名の別個にある専用実行ファイル(このファイルはマルウェアが起動する毎にC&Cからダウンロードされる)が、オペレーション実行のために使用される。2011年年初頃に最初に見つけられたこの単独型実行ファイルであるが、「当初はWin32向けに作られたが後にOS X向けに再コンパイルされた」ことを示唆する興味深い文字列を表示する:
ESETセキュリティ・ソフトウェア(Mac用ESETサイバーセキュリティーを含む)はシグニチャ・アップデート6970以来、この亜種型スパムを「OSX/Imuler.C」として検知している。
分析されたファイルのMD5 (ハッシュ関数アルゴリズム):
7dba3a178662e7ff904d12f260f0fff3 (インストーラ)
9d2462920fdaed5e360875fb0cf8274f (悪意のあるペイロード)
e00a280ad29440dcaab42ad093bcaafd (アップローダー・モジュール)
出典:blog.eset.com
