Специалисты корпорации «Доктор Веб» провели изучение новейшей версии троянца-бэкдора для операционной системы Mac OS X, получившего название Mac.BackDoor.OpinionSpy.3. данная вредная программа предопределена для шпионажа за юзерами «маков»: она множить коллекционировать так чисто вручать злодеям знания об открываемых в окне браузера веб-страницах, разбирать трафик, проходящий спустя сетевую карту компьютера, перехватывать сетевые пакеты, отправляемые программами для моментального обмена сообщениями, так чисто делать некие остальные небезопасные функции.
Семейство троянцев Mac.BackDoor.OpinionSpy понятно специалистам по информационной безопасности опять с 2010 года, впрочем перестать так давно в вирусную лабораторию корпорации «Доктор Веб» попал новенький экземпляр предоставленной вредной программы. данная версия бэкдора приобрела название .
Для собственного распространения употребляет трехступенчатую схему. На всевозможных сайтах, предлагающих различное ПО для Mac OS X, возникают с образу неопасные программы, в составе дистрибутивов которых, для тех перестать менее, наличествует файл poinstall, запускаемый инсталлятором в процессе установки. в случае в случае коли во период инсталляции загруженного с подобного веб-сайта приложения юзер соглашается дать ему же же права администратора, poinstall посылает на сервер злоумышленников серию POST-запросов, а уж уж в отклик приобретает гиперссылку для скачивания пакета с расширением .osa, снутри коего располагается ZIP-архив. Рoinstall распаковывает данный архив, извлекая исполняемый файл с именованием PremierOpinion так чисто XML-файл с важными для его работы конфигурационными данными, там чего запускает данную программу.
Запустившись на атакуемом «маке», PremierOpinion а уж тоже связывается с управляющим сервером так чисто приобретает от него гиперссылку на скачивание опять 1-го .osa-пакета, из коего извлекается так чисто монтируется настоящее приложение с подобным же заглавием — PremierOpinion. Это приложение содержит слегка исполняемых файлов: именно программу PremierOpinion, в коей отсутствует какой вредный функционал, так чисто бэкдор PremierOpinionD, реализующий небезопасные для юзера Mаc OS Х возможности.
Троянец приобретает администраторские права в процессе инсталляции так чисто ишачит в системе с привилегиями администратора. в случае в случае коли на первоначальном рубеже инсталляции диагонально в окне программы инсталляции вариант «I Disagree», на персональный комп полноте помещена лишь программа, коию юзер скачивал из веба без каких-то добавочных шпионских компонентов.
Если юзер изберет вариант «I Agree», кроме скачанного им же же приложения на персональный комп полноте установлена программа PremierOpinion, значок коей явится в командной панели так чисто перечне поставленных приложений.
Интерфейс программы PremierOpinion хватит лаконичен.
По щелчку мышью на значке приложения в командной панели запускается браузер, в окне коего раскрывается интернет-страница с описанием приложения PremierOpinion, позиционируемого словно утилита для проведения рекламных исследований. впрочем на веб-сайте разработчика перестать сообщается, чисто она коллекционирует так чисто передает на удаленный сервер информацию о персональном персональном компьютере Apple, на котором ишачит это приложение.
Разработчики утверждают, чисто программа PremierOpinion полноте созерцать за историей покупок юзера так чисто период от времени станет предлагать ему же же обрести чуткость в рекламном исследовании, для чего нужно полноте откликнуться на линия вопросцев особой анкеты. практически же многофункциональные полномочия гораздо обширнее заявленных так чисто определяются получаемыми с управляющего сервера конфигурационными файлами. Троянец монтируется в папку /Library/LaunchDaemons/, благодаря чему гарантируется его полуавтоматический пуск при отказе программы или же перезагрузке системы. потом устанавливает в браузеры гугл Chrome так чисто мозилла Firefox особое расширение, отслеживающее энергичность пользователя, так чисто передает на управляющий сервер знания о посещенных им же же веб-сайтах (данные намереваются по конкретному набору правил), открываемых вкладках так чисто ссылках, по коим осуществлялся переход. кроме этого встраивает личную библиотеку в процессы браузеров так чисто приложение iChat с целью перехвата неких функций работы с сетью, а уж уж а уж тоже воплотит в жизнь мониторинг трафика, передаваемого спустя сетевую карту персонального персонального компьютера Apple. На любых доступных Ethernet-интерфейсах отслеживаются HTTP-пакеты, трафик покупателей для обмена моментальными сообщениями (Microsoft Messenger, Yahoo! Messenger, AIM, iChat), RTMP-трафик. единичный модуль троянца дает возможность производить сканирование жесткого диска так чисто любых смонтированных в системе носителей, делать разыскивание файлов, сообразных данному вирусописателями правилу, так чисто отправлять информацию об этих файлах на удаленный сервер. а уж тоже троянская программа отсылает злодеям знания об инфицированном компьютере, охватывая заданные об аппаратной конфигурации, перечень запущенных процессов так чисто т. д. Троянец в силах становить личные обновления неприметно для пользователя, скачивая них с управляющего сервера. подобает отметить, чисто в браузере Safari нарушает работу модуля его локализации.
При обмене информацией с управляющим сервером доля заданных троянец шифрует, доля — передает в раскрытом виде. кроме прочего, множить коллекционировать так чисто вручать злодеям знания о видеофайлах, просмотренных пользователем.
Сигнатура предоставленной вредной программы добавлена в вирусную основание Dr.Web. юзерам компьютеров, работающих под управлением Mac OS X, рекомендуется с предосторожностью глядеть к приложениям, загруженным из Интернета.
НОВОЕ НА САЙТЕ
23 апреля 2024 года
Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
The post
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web
