Перейти к содержанию
AM_Bot

Новый бэкдор угрожает пользователям Mac OS

Recommended Posts

AM_Bot

3 октября 2011 года

Компания «Доктор Веб» — ведущий российский разработчик средств информационной безопасности — предупреждает пользователей о появлении новой вредоносной программы для операционной системы Mac OS. Эта угроза, получившая название BackDoor.Flashback, представляет собой уникальный и многокомпонентный бэкдор, предназначенный для компьютеров производства компании Apple.

BackDoor.Flashback стал четвертым известным бэкдором для операционной системы Mac OS. Однако в отличие от своих предшественников, таких как, например, BackDoor.Olyx, данный образец обладает чрезвычайно развитым функционалом и сложной архитектурой. Кроме того, это первое в своем роде вредоносное приложение данного типа для Mac OS, получившее широкое распространение и реализующее хорошо продуманную схему по распространению и поддержанию «живучести» ботов.

Установщик BackDoor.Flashback маскируется под инсталлятор проигрывателя Adobe Flash Player. При посещении пользователем распространяющего вредоносное ПО сайта на экране его компьютера возникает сообщение об ошибке проигрывателя Adobe Flash, после чего пользователю предлагается обновить версию.

flash_osx_mini.png

Если он соглашается выполнить это обновление, осуществляется цепочка редиректов, которая завершается предложением загрузить и установить архив, содержащий файл с именем FlashPlayer-11-macos.pkg (этот архив загружается только в том случае, если клиентская операционная система — Mac OS X Lion). Затем начинается процесс инсталляции «проигрывателя», по завершении которого пакет удаляется, а в папку /Library/Preferences/ устанавливается основной компонент Preferences.dylib, реализующий в системе функции бэкдора и способный выполнять команды, поступающие от многочисленных удаленных командных центров.

Следует также отметить, что в бэкдоре предусмотрено получение дополнительных команд из сообщений на сервере mobile.twitter.com.

Основная вредоносная библиотека Preferences.dylib прекращает свою работу, если в операционной системе имеется один из перечисленных ниже файлов:

/Library/Little Snitch/lsd

/Applications/VirusBarrier X6.app/Contents/MacOS/VirusBarrier X6

/Applications/iAntiVirus/iAntiVirus.app/Contents/MacOS/iAntiVirus

/Applications/avast!.app/Contents/MacOS/avast!

/Applications/ClamXav.app/Contents/MacOS/ClamXav

/Applications/HTTPScoop.app/Contents/MacOS/HTTPScoop

/Applications/Packet Peeper.app/Contents/MacOS/Packet Peeper.app

Основное функциональное назначение Preferences.dylib кроется в выполнении различных директив, поступающих из удаленного командного центра или содержащихся в конфигурационном файле (например, такой команды, как интегрирование в просматриваемые пользователем веб-страницы кода на языке JavaScript). Однако библиотека позволяет выполнять и любые стандартные команды shell.

Во избежание заражения вредоносной программой BackDoor.Flashback пользователям операционной системы Mac OS X рекомендуется загружать обновления проигрывателя Flash только с официального сайта Adobe и отключить функцию автоматического открытия сохраненных файлов после их загрузки в настройках браузера. Сигнатура данной угрозы уже добавлена в вирусные базы Антивируса Dr.Web для Mac OS X.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Основная вредоносная библиотека Preferences.dylib прекращает свою работу, если в операционной системе имеется один из перечисленных ниже файлов:

Трусливое какое, а

Ну что ты, всего лишь на неделю позже остальных нашли. Это еще терпимо. Хоть себе "открытие" не приписывают и ладно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel PV

Ну что ты, всего лишь на неделю позже остальных нашли. Это еще терпимо. Хоть себе "открытие" не приписывают и ладно.
Действительно https://www.securelist.com/en/blog/20819314...Android_Malware

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Читаем:

The earlier mention points to a more theoretical research on the subject. This one here is a real world case of cybercriminals using QR Codes to distribute malware from a Partnerka network.

И? К чему это?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Ну и для освежения памяти: http://www.anti-malware.ru/forum/index.php?showtopic=18823 :) \сравнить даты\

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Pavel PV , в отличии от Dr.Web у нас это не пишется на главной страницы оф. сайта в новостной ленте..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
К маю сего года http://blogs.drweb.com/node/818

Бедолаги ... вы так и не поняли что эта новость была про QR-коды, а не про конкретного троянца ?

А мы даже в заголовок это вынесли. Ох, что ж делать с такими читателями, а ? :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Ох, что ж делать с такими читателями, а ? :(

Ничего не нужно делать, ибо:

p.plotnikov:

все мы смотрим на АМ исключительно как портал, где можно оттачить свои умения в троллинге

Дословно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

а, они эти свои перманентные фейспалмы троллингом считают ? ну если только самих себя :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×