Доктор Веб: Возвращение опасного троянца для Mac OS Х
Специалисты компании «Доктор Веб» провели исследование новой версии троянца-бэкдора для операционной системы Mac OS X, получившего наименование Mac.BackDoor.OpinionSpy.3. Вредоносная программа предназначена для шпионажа за пользователями «маков»: она может собирать и передавать злоумышленникам сведения об открываемых в окне браузера веб-страницах, анализировать трафик, проходящий через сетевую карту компьютера, перехватывать сетевые пакеты, отправляемые программами для мгновенного обмена сообщениями, и выполнять некоторые другие опасные функции. Семейство Mac.BackDoor.OpinionSpy известно специалистам еще с 2010 года, однако недавно в вирусную лабораторию «Доктор Веб» попал новый экземпляр данной вредоносной программы.
Для своего распространения Mac.BackDoor.OpinionSpy.3 использует трехступенчатую схему. На сайтах, предлагающих всевозможное ПО для Mac OS X, появляются с виду безобидные программы, в составе дистрибутивов которых присутствует файл poinstall, запускаемый инсталлятором в процессе установки. Если во время инсталляции пользователь соглашается предоставить ему права администратора, poinstall отправляет на сервер злоумышленников серию POST-запросов, а в ответ получает ссылку для скачивания пакета с расширением .osa, внутри которого располагается ZIP-архив.
Запустившись PremierOpinion также связывается с управляющим сервером и получает ссылку на скачивание еще одного .osa-пакета, из которого извлекается и устанавливается полноценное приложение с таким же названием — PremierOpinion. Это приложение содержит несколько исполняемых файлов: собственно программу PremierOpinion, в которой отсутствует вредоносный функциональность, и бэкдор PremierOpinionD.Троянец получает администраторские права в процессе установки и работает в системе с привилегиями администратора.
По щелчку на значке приложения в командной панели запускается браузер, в окне которого открывается веб-страница с описанием приложения PremierOpinion, позиционируемого как утилита для проведения маркетинговых исследований. Однако на сайте разработчика не сообщается, что она собирает и передает на удаленный сервер информацию о компьютере, на котором работает это приложение. При обмене информацией с сервером часть данных троянец шифрует, часть — передает в открытом виде. Помимо прочего, Mac.BackDoor.OpinionSpy.3 может собирать и передавать злоумышленникам сведения о видеофайлах, просмотренных пользователем.
Для своего распространения Mac.BackDoor.OpinionSpy.3 использует трехступенчатую схему. На сайтах, предлагающих всевозможное ПО для Mac OS X, появляются с виду безобидные программы, в составе дистрибутивов которых присутствует файл poinstall, запускаемый инсталлятором в процессе установки. Если во время инсталляции пользователь соглашается предоставить ему права администратора, poinstall отправляет на сервер злоумышленников серию POST-запросов, а в ответ получает ссылку для скачивания пакета с расширением .osa, внутри которого располагается ZIP-архив.
Запустившись PremierOpinion также связывается с управляющим сервером и получает ссылку на скачивание еще одного .osa-пакета, из которого извлекается и устанавливается полноценное приложение с таким же названием — PremierOpinion. Это приложение содержит несколько исполняемых файлов: собственно программу PremierOpinion, в которой отсутствует вредоносный функциональность, и бэкдор PremierOpinionD.Троянец получает администраторские права в процессе установки и работает в системе с привилегиями администратора.
По щелчку на значке приложения в командной панели запускается браузер, в окне которого открывается веб-страница с описанием приложения PremierOpinion, позиционируемого как утилита для проведения маркетинговых исследований. Однако на сайте разработчика не сообщается, что она собирает и передает на удаленный сервер информацию о компьютере, на котором работает это приложение. При обмене информацией с сервером часть данных троянец шифрует, часть — передает в открытом виде. Помимо прочего, Mac.BackDoor.OpinionSpy.3 может собирать и передавать злоумышленникам сведения о видеофайлах, просмотренных пользователем.
Ещё новости по теме:
18:20