Специалистами компании «Доктор Веб» были проведены исследования новой версии троянца-бэкдора, который получил название Mac.BackDoor.OpinionSpy.3 для операционной системы Mac OS X. Эта вредоносная программа используется для шпионажа за пользователями «маков». Так, она способна собирать сведения об открываемых страницах и передавать их злоумышленникам, анализировать трафик, который проходит через сетевую карту, перехватывать пакеты, что отправляются программами для обмена сообщениями и пр.
Для распространения троянец использует 3-х ступенчатую систему. На сайтах, предлагаемых ПО для Mac OS X возникают на первый взгляд безобидные программы, где присутствует файл poinstall, который запускается в процессе установки. Если пользователь предоставляет ему права администратора, он отправляет злоумышленникам серию запросов и получает ссылку для скачивания с ZIP-архивом. Из него извлекается файл PremierOpinion и файл с конфигурационными данными, и программа запускается.
Для защиты компьютеров используйте также аваст антивирус. После этого PremierOpinion снова связывается с сервером и получает еще одну ссылку на скачивание пакета, из которого устанавливается полноценное приложение с программой без вредоносных функционалов и бэкдор PremierOpinionD, который реализует опасные возможности.
Если пользователь выбирает «I Agree», то на его компьютер будет установлена данная программа и значок появится в списке установленных приложений. Приложение будет позиционироваться как утилита для маркетинговых исследований.
Разработчки утверждают, что программа следит за историей покупок пользователя и иногда предлагает пройти маркетинговое исследование. Функциональные возможности ее значительно шире. Троянец устанавливает специальное расширение и передает данные о посещаемых сайтах, открываемых ссылках, перехватывает неторые функции работы с сетью, осуществляет мониторинг трафика. Отдельный модуль способен сканировать жесткий диск и другие носители, отсылать информацию злоумышленникам, передавать им данные об аппаратной конфигурации и т.д.
