Троянец для Mac OS X использует изображения русской фотомодели - Современные угрозы и защита от них - Форумы Anti-Malware.ru Перейти к содержанию
AM_Bot

Троянец для Mac OS X использует изображения русской фотомодели

Recommended Posts

AM_Bot

11 марта 2012 года

Компания «Доктор Веб» сообщает о выявлении новой схемы распространения угроз для персональных компьютеров и устройств, работающих под управлением операционной системы Mac OS X. Авторами данного механизма являются создатели троянца Trojan.Muxler (OSX/Revir). Для приманки пользователей злоумышленники используют фотографии популярной русской фотомодели Ирины Шейк.

Угроза скрывается в ZIP-архивах, содержащих различные фотографии, в частности, снимки известной фотомодели Ирины Шейк. Образцы этих архивов были загружены на сайт virustotal.com под именами Pictures and the Ariticle of Renzin Dorjee.zip и FHM Feb Cover Girl Irina Shayk H-Res Pics.zip. Специалисты «Доктор Веб» в настоящий момент не обладают полной информацией о схеме распространения таких архивов, но предполагают, что это явление не носит массовый характер.

При распаковке содержимого архива помимо фотографий на диск сохраняется приложение, значок которого в окне Finder практически не отличается от эскизов других графических изображений. Злоумышленники рассчитывают на невнимательность пользователя: не отличив уменьшенный эскиз фотографии от значка программы, он может случайно запустить это приложение на выполнение.

Irina.1.png

Данный исполняемый файл имеет имя FileAgent и представляет собой троянскую программу Trojan.Muxler.3. Троянец расшифровывает и запускает модуль бэкдора, детектируемый антивирусным ПО Dr.Web как BackDoor.Muxler.3 (OSX/Imuler). Этот модуль копируется в файл с именем .mdworker, расположенный в папке /tmp/. После запуска Trojan.Muxler.3 демонстрирует пользователю увеличенную копию фотографии и удаляет себя.

Бэкдор позволяет выполнять различные команды скачивания и запуска файлов, а также создания скриншотов Рабочего стола Mac OS X. Кроме того, Trojan.Muxler.3 загружает из Интернета и сохраняет в папку /tmp/ вспомогательный файл CurlUpload, который детектируется антивирусным ПО Dr.Web как Trojan.Muxler.2 и служит для закачки различных файлов с инфицированной машины на удаленный сервер злоумышленников.

Угроза представляет опасность для пользователей Mac OS X, поскольку бэкдор используется в качестве средства контроля над инфицированной машиной. Применяемая злоумышленниками схема позволяет фиксировать происходящие в системе события посредством снятия скриншотов, запускать незаметно для пользователя сторонние приложения и передавать на удаленный сервер хранящиеся на дисках инфицированного компьютера файлы, которые могут содержать конфиденциальную информацию.

Trojan.Muxler.3 и BackDoor.Muxler.3 добавлены в вирусные базы антивируса Dr.Web для Mac OS X.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Компания «Доктор Веб» сообщает о выявлении новой схемы распространения угроз для персональных компьютеров и устройств, работающих под управлением операционной системы Mac OS X.

Образцы этих архивов были загружены на сайт virustotal.com под именами Pictures and the Ariticle of Renzin Dorjee.zip и FHM Feb Cover Girl Irina Shayk H-Res Pics.zip.

Специалисты «Доктор Веб» в настоящий момент не обладают полной информацией о схеме распространения таких архивов

но предполагают, что это явление не носит массовый характер.

Да когда вы уже прекратите упарываться так ? :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr

Погодите это просто веб провел поиск по параметрам в базе вирустотала и решил написать новость о находке?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • santy
      RP55, если самозапрет не делал на публикации в соф.сетях, то возможно есть проблемы у некоторых провайдеров при получении доступа к сайте АМ.
    • demkd
      ---------------------------------------------------------
       4.99.13
      ---------------------------------------------------------
      Краткое содержание, подробнее читайте whatsnew.

       o Добавлен новый режим захвата экрана DDAL с поддержкой сжатия с потерей качества.

       o Добавлена защита начального уровня от внедрения потоков в адресное пространство uVS.

       o В меню Руткиты добавлен пункт "Найти и удалить сплайсинг из всех загруженных в uVS известных DLL".

       o Модуль антисплайсинга улучшен до версии 2.0. Теперь контролируются все экспортируемые
         функции всех известных DLL, загруженных в uVS.
    • PR55.RP55
      Видимо форум не даёт мне публиковать текст больше чем Х символов. Или где "много" строк.  
    • PR55.RP55
      Освобождение места на системном диске...  Добавить в меню команду:  Обнаружить и переместить все файлы - [v] медиафайлы - [v] файлы архивов ( системный диск)  > Файл Больше [v]50mb < > [v]100mb < > [v]150 < > [v]300 * Выбор Директории...
    • PR55.RP55
×