Перейти к содержанию
AM_Bot

Новый бэкдор угрожает пользователям Mac OS

Recommended Posts

AM_Bot

3 октября 2011 года

Компания «Доктор Веб» — ведущий российский разработчик средств информационной безопасности — предупреждает пользователей о появлении новой вредоносной программы для операционной системы Mac OS. Эта угроза, получившая название BackDoor.Flashback, представляет собой уникальный и многокомпонентный бэкдор, предназначенный для компьютеров производства компании Apple.

BackDoor.Flashback стал четвертым известным бэкдором для операционной системы Mac OS. Однако в отличие от своих предшественников, таких как, например, BackDoor.Olyx, данный образец обладает чрезвычайно развитым функционалом и сложной архитектурой. Кроме того, это первое в своем роде вредоносное приложение данного типа для Mac OS, получившее широкое распространение и реализующее хорошо продуманную схему по распространению и поддержанию «живучести» ботов.

Установщик BackDoor.Flashback маскируется под инсталлятор проигрывателя Adobe Flash Player. При посещении пользователем распространяющего вредоносное ПО сайта на экране его компьютера возникает сообщение об ошибке проигрывателя Adobe Flash, после чего пользователю предлагается обновить версию.

flash_osx_mini.png

Если он соглашается выполнить это обновление, осуществляется цепочка редиректов, которая завершается предложением загрузить и установить архив, содержащий файл с именем FlashPlayer-11-macos.pkg (этот архив загружается только в том случае, если клиентская операционная система — Mac OS X Lion). Затем начинается процесс инсталляции «проигрывателя», по завершении которого пакет удаляется, а в папку /Library/Preferences/ устанавливается основной компонент Preferences.dylib, реализующий в системе функции бэкдора и способный выполнять команды, поступающие от многочисленных удаленных командных центров.

Следует также отметить, что в бэкдоре предусмотрено получение дополнительных команд из сообщений на сервере mobile.twitter.com.

Основная вредоносная библиотека Preferences.dylib прекращает свою работу, если в операционной системе имеется один из перечисленных ниже файлов:

/Library/Little Snitch/lsd

/Applications/VirusBarrier X6.app/Contents/MacOS/VirusBarrier X6

/Applications/iAntiVirus/iAntiVirus.app/Contents/MacOS/iAntiVirus

/Applications/avast!.app/Contents/MacOS/avast!

/Applications/ClamXav.app/Contents/MacOS/ClamXav

/Applications/HTTPScoop.app/Contents/MacOS/HTTPScoop

/Applications/Packet Peeper.app/Contents/MacOS/Packet Peeper.app

Основное функциональное назначение Preferences.dylib кроется в выполнении различных директив, поступающих из удаленного командного центра или содержащихся в конфигурационном файле (например, такой команды, как интегрирование в просматриваемые пользователем веб-страницы кода на языке JavaScript). Однако библиотека позволяет выполнять и любые стандартные команды shell.

Во избежание заражения вредоносной программой BackDoor.Flashback пользователям операционной системы Mac OS X рекомендуется загружать обновления проигрывателя Flash только с официального сайта Adobe и отключить функцию автоматического открытия сохраненных файлов после их загрузки в настройках браузера. Сигнатура данной угрозы уже добавлена в вирусные базы Антивируса Dr.Web для Mac OS X.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Основная вредоносная библиотека Preferences.dylib прекращает свою работу, если в операционной системе имеется один из перечисленных ниже файлов:

Трусливое какое, а

Ну что ты, всего лишь на неделю позже остальных нашли. Это еще терпимо. Хоть себе "открытие" не приписывают и ладно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel PV

Ну что ты, всего лишь на неделю позже остальных нашли. Это еще терпимо. Хоть себе "открытие" не приписывают и ладно.
Действительно https://www.securelist.com/en/blog/20819314...Android_Malware

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Читаем:

The earlier mention points to a more theoretical research on the subject. This one here is a real world case of cybercriminals using QR Codes to distribute malware from a Partnerka network.

И? К чему это?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Ну и для освежения памяти: http://www.anti-malware.ru/forum/index.php?showtopic=18823 :) \сравнить даты\

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Pavel PV , в отличии от Dr.Web у нас это не пишется на главной страницы оф. сайта в новостной ленте..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
К маю сего года http://blogs.drweb.com/node/818

Бедолаги ... вы так и не поняли что эта новость была про QR-коды, а не про конкретного троянца ?

А мы даже в заголовок это вынесли. Ох, что ж делать с такими читателями, а ? :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Ох, что ж делать с такими читателями, а ? :(

Ничего не нужно делать, ибо:

p.plotnikov:

все мы смотрим на АМ исключительно как портал, где можно оттачить свои умения в троллинге

Дословно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

а, они эти свои перманентные фейспалмы троллингом считают ? ну если только самих себя :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • CoreyBar
      Привет всем участникам форума! Класный у вас сайт!
      Что скажете по поводу этих новостей?: Ростислав Ищенко. Модель Коломойского в масштабах государства не работает | Раскол в партии "Слуга народа" | Ответы на вопросы http://energysmi.ru/news/42412-rostislav-ischenko-model-kolomoyskogo-v-masshtabah-gosudarstva-ne-rabotaet-raskol-v-partii-sluga-naroda-otvety-na-voprosy.html
      Саудовская Аравия раздувает пожар религиозной войны Саудовская Аравия раздувает пожар религиозной войны
      Ещё много всего по теме нашел тут: боевики днр и лнр донбасс метро
    • PR55.RP55
      cinquefoil2014 На anti-malware.ru нет раздела по лечению. Обратиться за помощью можно на любой из этих форумов: https://virusinfo.info/forumdisplay.php?f=46 https://forum.kasperskyclub.ru/index.php?showforum=26 http://www.cyberforum.ru/viruses/ https://safezone.cc/forums/viruses/
    • cinquefoil2014
      Подскажите а в каком разделе можно задать вопрос по поводу лечения вируса на сайте?
    • PR55.RP55
      1) По поводу команды: Сбросить атрибуты для все файлов/каталогов в... Это не работает, если не заданы: Группы или пользователи. т.е. нужно проверить не пуст ли список... Если пуст:  прописать пользователя. И только после этого можно сбросить атрибуты... 2) При проверке ЭЦП по F6 ... Если неполадки с сетевым оборудованием, или службами отвечающими за доступ к сети... uvS видит: Сеть есть... и начинает проверять файлы. А по сути сети нет. т.е. здесь нужен таймер.: Если в течении определённого времени нет результата - то проверять ЭЦП локально ( с соответствующей записью в Лог )   Не ждать, как сейчас 100 500 часов. 3)  Проверка занимает излишне много времени в ситуации: Ошибка  [Не удается построить цепочку сертификатов для доверенного корневого центра. ]
      Ошибка  [Цепочка сертификатов обработана, но обработка прервана на корневом сертификате, у которого отсутствует отношение доверия с поставщиком доверия. ] uVS натыкается на такой файл и думает... думает...
    • PR55.RP55
      1) Если оператор применил фильтр  [V]  Известные. То при применении команды: F6   проверять только оставшиеся в списке файлы. Это на порядок ускорит проверку.  Нужно проверить всё ? Сними чек-бокс.  
×