Специалисты фирмы «Доктор Веб» провели разыскание новейшей версии троянца-бэкдора для операционной системы Mac OS X, получившего название Mac.BackDoor.OpinionSpy.3. заданная вредная программа специализирована для шпионажа за юзерами «маков»: она перемножать коллекционировать так будто транслировать злодеям познания об открываемых в окне браузера веб-страницах, разбирать трафик, проходящий сквозь сетевую карту компьютера, перехватывать сетевые пакеты, отправляемые программами для моментального обмена сообщениями, так будто скорпулезно некие остальные небезопасные функции.
Семейство троянцев Mac.BackDoor.OpinionSpy популярно специалистам по информационной безопасности опять-таки с 2010 года, все-таки закончить делать так давно в вирусную лабораторию фирмы «Доктор Веб» попал свежеиспеченный экземпляр предоставленной вредной программы. данная версия бэкдора приобрела название .
Для собственного распространения применяет трехступенчатую схему. На самых разных сайтах, предлагающих различное ПО для Mac OS X, возникают с пейзажу неопасные программы, в составе дистрибутивов которых, для тех закончить делать менее, наличествует файл poinstall, запускаемый инсталлятором в процессе установки. коли во час инсталляции загруженного с подобного веб-сайта приложения юзер соглашается дать ему же же права администратора, poinstall посылает на сервер злоумышленников серию POST-запросов, а уж уж в отклик приобретает гиперссылку для скачивания пакета с расширением .osa, снутри коего располагается ZIP-архив. Рoinstall распаковывает данный архив, извлекая исполняемый файл с именованием PremierOpinion так будто XML-файл с важными для его работы конфигурационными данными, попозже чего запускает данную программу.
Запустившись на атакуемом «маке», PremierOpinion а уж тоже связывается с управляющим сервером так будто приобретает от него гиперссылку на скачивание опять-таки 1-го .osa-пакета, из коего извлекается так будто монтируется всеполноценное приложение с подобным же заглавием — PremierOpinion. Это приложение содержит немного исполняемых файлов: именно программу PremierOpinion, в коей отсутствует какой-нибудь нездоровый функционал, так будто бэкдор PremierOpinionD, реализующий небезопасные для юзера Mаc OS Х возможности.
Троянец приобретает администраторские права в процессе инсталляции так будто ишачит в системе с привилегиями администратора. коли на исходном рубеже инсталляции отыскать в окне программы инсталляции вариант «I Disagree», на комп полно помещена лишь программа, коию юзер скачивал из веба без каких-то доборных шпионских компонентов.
Если юзер изберет вариант «I Agree», кроме скачанного им же же приложения на комп полно установлена программа PremierOpinion, значок коей возникнет в командной панели так будто перечне поставленных приложений.
Интерфейс программы PremierOpinion хватит лаконичен.
По щелчку мышью на значке приложения в командной панели запускается браузер, в окне коего раскрывается интернет-страница с описанием приложения PremierOpinion, позиционируемого будто утилита для проведения рекламных исследований. все-таки на медиа-сайте разработчика закончить делать сообщается, будто она коллекционирует так будто передает на удаленный сервер информацию о персональном персональном компьютере Apple, на котором ишачит это приложение.
Разработчики утверждают, будто программа PremierOpinion полно наблюдать за историей покупок юзера так будто час от времени станет предлагать ему же же обрести внимательность в рекламном исследовании, для чего надобно полно отозваться на линия вопросцев особой анкеты. практически же активные полномочия гораздо обширнее заявленных так будто определяются получаемыми с управляющего сервера конфигурационными файлами. Троянец монтируется в папку /Library/LaunchDaemons/, благодаря чему гарантируется его самодействующий пуск при отказе программы либо перезагрузке системы. потом устанавливает в браузеры гугл Chrome так будто мозилла Firefox особое расширение, отслеживающее энергичность пользователя, так будто передает на управляющий сервер познания о посещенных им же же веб-сайтах (данные намереваются по конкретному набору правил), открываемых вкладках так будто ссылках, по коим осуществлялся переход. кроме этого встраивает личную библиотеку в процессы браузеров так будто приложение iChat с целью перехвата неких функций работы с сетью, а уж уж а уж тоже производит мониторинг трафика, передаваемого сквозь сетевую карту персонального персонального компьютера Apple. На любых доступных Ethernet-интерфейсах отслеживаются HTTP-пакеты, трафик покупателей для обмена моментальными сообщениями (Microsoft Messenger, Yahoo! Messenger, AIM, iChat), RTMP-трафик. некоторые модуль троянца разрешает воплотить в жизнь сканирование жесткого диска так будто любых смонтированных в системе носителей, скорпулезно разыскивание файлов, соответственных данному вирусописателями правилу, так будто отправлять информацию об этих файлах на удаленный сервер. а уж тоже троянская программа отсылает злодеям познания об инфицированном компьютере, подключая заданные об аппаратной конфигурации, перечень запущенных процессов так будто т. д. Троянец в силах ставить личные обновления неприметно для пользователя, скачивая них с управляющего сервера. надлежит отметить, будто в браузере Safari нарушает работу модуля его локализации.
При обмене информацией с управляющим сервером фрагмент заданных троянец шифрует, фрагмент — передает в раскрытом виде. кроме прочего, перемножать коллекционировать так будто транслировать злодеям познания о видеофайлах, просмотренных пользователем.
Сигнатура предоставленной вредной программы добавлена в вирусную основание Dr.Web. юзерам компьютеров, работающих под управлением Mac OS X, рекомендуется с предосторожностью смотреть к приложениям, загруженным из Интернета.
НОВОЕ НА САЙТЕ
23 апреля 2024 года
Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
The post
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web
