Integoは、Mac OS Xにインストールされると、リモートユーザーが感染したMacを乗っ取って操作できるようになるマルウェア「OSX/HellRTS.D」を発見。このバックドアを、2004年に初めて見つかった、初期Mac OS Xを標的とするマルウェアHellRTSの亜種と特定した。危険性は低とされている。

画像はIntegoのアンチウイルス/ネットワーク保護ソフトウェア「VirusBarrier X6」のもの

HellRTSはRealBasicで開発され、PowerPCおよびIntel CPU環境のどちらでも実行できるUniversal Binaryプログラムとなっている。独自サーバ起動とともにサーバのポートおよびパスワードを構成、自身を異なるソフトウェア名で複製したうえで、ログイン時に必ず起動するようにユーザーのログイン項目に追加する。異なる名前が使われるため、ログイン項目内、アクティビティモニタ内でも発見することは困難。

独自メールサーバを使って電子メールを送信、リモートサーバに接続し、感染したMacに直接アクセス可能にすることができる。リモートからは、画面共有/Macの終了/再起動、感染したMacのクリップボードの利用など様々な処理が可能となる。

このバックドアは、トロイの木馬や、Webブラウザのようなインータネットを使うプログラムの脆弱性を利用し、まずMacへインストールされる必要がある。Integoでは、これに感染したMacの存在をまだ確認していないが、複数のフォーラムで配布されているとしている。

なお、Integoのアンチウイルス/ネットワーク保護ソフトウェア「VirusBarrier X6」のウイルス定義ファイル(Threat Filters、4月15日付け以降)でOSX/HellRTS.Dとして検出し、削除可能。