opener を知らない方は＞"Opener" Malware
ってゆーか、Macintosh Underground :: View topic - Startup scripts の ９ページ目 辺りを見た方が早いような。


でまぁ、openerですけど。


mal"ware"っつーよりは、vandalなスクリプト詰め合わせって感じですよね。「思いつく限りやってみました!!」みたいな。
何だか、何時だったかのセキュスタで、たまたまアカウントとパスワードが解ったので某氏のMac OS XにSSHで入って /etc/hostconfigをアレしたり /System/Library/StartupItems/ 以下をコレしたり何をソレしたりした後に「エィヤァー」と“sudo shutdown -r now”してあげたら起動しなくなっちゃった.....ってのを思い出しました（笑


塚長杉＞opener　って感じ。


Sophos virus analysis: SH/Renepo-A なんてのも挙ってるんですね。もう。
まぁしかしこの opener 。opener自体のコメントに

# To install this script you need admin access or
# physical access (boot from a CD or firewire/usb, ignore permissions on the internal drive) or
# write access to either /Library/StartupItems /System/Library/StartupItems or
# write access to any existing StartupItem (which you can then replace with this script) or
# write access to the rc, crontab, or periodic files (and have them run or install the script) or
# you could trick someone who has an admin account into installing it.

とあるように、肝は管理者権限を渡さないとかパスワードをきちんとして漏らさないとか物理的アクセスを許さないとか、それこそ Tomio さんがまとめて下さっている Mac OS Xユーザーのためのセキュリティ に書かれているようなことをまず実践するのが重要な訳で。


それでも心配なら Osiris 使うとか。
openerにやられたかどうか知りたいだけなら Checkmate に /etc/hostconfig をチェックさせるだけでいーのかも。Pantherで動くのか試してさえいないけど。
てゆーかね。

$ sudo ls -l /Users/*/Public/.info
Password:
ls: /Users/*/Public/.info: No such file or directory

が確認法だってのは悲しいよなぁ...。
いやまぁ、確かにまず試してみるってのは良いかも知らんけど、これで安心してもなぁ...。
「.info」が「.hoge」だったらどーすんだっつー...。
フツーはこのまんま使わないだろーし＞opener。一部抜粋して使うとかならともかく。
やることなすこと派手すぎるっつーか、無駄が多いっつーか。


何つーかこぉ、今んとこvirusとかwormとかmalwareとかrootkitとかって判断するより、こぉ、将来のMac OS X向けrootkitのブレインストーミングを今（彼らが）してる。のを（私が）眺めてる。って感じでしょうかね。


と、ここまで書いて、やっとSophosがなんで「Renepo」と命名したのか解ったオレ...orz