AM_Bot

Новый бэкдор угрожает пользователям Mac OS

В этой теме 11 сообщений

3 октября 2011 года

Компания «Доктор Веб» — ведущий российский разработчик средств информационной безопасности — предупреждает пользователей о появлении новой вредоносной программы для операционной системы Mac OS. Эта угроза, получившая название BackDoor.Flashback, представляет собой уникальный и многокомпонентный бэкдор, предназначенный для компьютеров производства компании Apple.

BackDoor.Flashback стал четвертым известным бэкдором для операционной системы Mac OS. Однако в отличие от своих предшественников, таких как, например, BackDoor.Olyx, данный образец обладает чрезвычайно развитым функционалом и сложной архитектурой. Кроме того, это первое в своем роде вредоносное приложение данного типа для Mac OS, получившее широкое распространение и реализующее хорошо продуманную схему по распространению и поддержанию «живучести» ботов.

Установщик BackDoor.Flashback маскируется под инсталлятор проигрывателя Adobe Flash Player. При посещении пользователем распространяющего вредоносное ПО сайта на экране его компьютера возникает сообщение об ошибке проигрывателя Adobe Flash, после чего пользователю предлагается обновить версию.

flash_osx_mini.png

Если он соглашается выполнить это обновление, осуществляется цепочка редиректов, которая завершается предложением загрузить и установить архив, содержащий файл с именем FlashPlayer-11-macos.pkg (этот архив загружается только в том случае, если клиентская операционная система — Mac OS X Lion). Затем начинается процесс инсталляции «проигрывателя», по завершении которого пакет удаляется, а в папку /Library/Preferences/ устанавливается основной компонент Preferences.dylib, реализующий в системе функции бэкдора и способный выполнять команды, поступающие от многочисленных удаленных командных центров.

Следует также отметить, что в бэкдоре предусмотрено получение дополнительных команд из сообщений на сервере mobile.twitter.com.

Основная вредоносная библиотека Preferences.dylib прекращает свою работу, если в операционной системе имеется один из перечисленных ниже файлов:

/Library/Little Snitch/lsd

/Applications/VirusBarrier X6.app/Contents/MacOS/VirusBarrier X6

/Applications/iAntiVirus/iAntiVirus.app/Contents/MacOS/iAntiVirus

/Applications/avast!.app/Contents/MacOS/avast!

/Applications/ClamXav.app/Contents/MacOS/ClamXav

/Applications/HTTPScoop.app/Contents/MacOS/HTTPScoop

/Applications/Packet Peeper.app/Contents/MacOS/Packet Peeper.app

Основное функциональное назначение Preferences.dylib кроется в выполнении различных директив, поступающих из удаленного командного центра или содержащихся в конфигурационном файле (например, такой команды, как интегрирование в просматриваемые пользователем веб-страницы кода на языке JavaScript). Однако библиотека позволяет выполнять и любые стандартные команды shell.

Во избежание заражения вредоносной программой BackDoor.Flashback пользователям операционной системы Mac OS X рекомендуется загружать обновления проигрывателя Flash только с официального сайта Adobe и отключить функцию автоматического открытия сохраненных файлов после их загрузки в настройках браузера. Сигнатура данной угрозы уже добавлена в вирусные базы Антивируса Dr.Web для Mac OS X.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Основная вредоносная библиотека Preferences.dylib прекращает свою работу, если в операционной системе имеется один из перечисленных ниже файлов:

Трусливое какое, а

Ну что ты, всего лишь на неделю позже остальных нашли. Это еще терпимо. Хоть себе "открытие" не приписывают и ладно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ну что ты, всего лишь на неделю позже остальных нашли. Это еще терпимо. Хоть себе "открытие" не приписывают и ладно.
Действительно https://www.securelist.com/en/blog/20819314...Android_Malware

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Читаем:

The earlier mention points to a more theoretical research on the subject. This one here is a real world case of cybercriminals using QR Codes to distribute malware from a Partnerka network.

И? К чему это?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Pavel PV , в отличии от Dr.Web у нас это не пишется на главной страницы оф. сайта в новостной ленте..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
К маю сего года http://blogs.drweb.com/node/818

Бедолаги ... вы так и не поняли что эта новость была про QR-коды, а не про конкретного троянца ?

А мы даже в заголовок это вынесли. Ох, что ж делать с такими читателями, а ? :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ох, что ж делать с такими читателями, а ? :(

Ничего не нужно делать, ибо:

p.plotnikov:

все мы смотрим на АМ исключительно как портал, где можно оттачить свои умения в троллинге

Дословно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

а, они эти свои перманентные фейспалмы троллингом считают ? ну если только самих себя :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS