Возвращение опасного троянца для Mac OS Х

Компания «Доктор Веб» тщательно изучила новую версию опасного троянца-бэкдора для платформы Mac OS X, который занесен в базы как Mac.BackDoor.OpinionSpy.3. Утилита предназначена для слежения за обладателями «маков»: информация об открываемых страницах, анализ трафика, перехват сетевых пакетов и т.д.

Семейство Mac.BackDoor.OpinionSpy появилось еще в 2010 году. Недавно специалисты обнаружили новую версию вируса, которая получила обозначение Mac.BackDoor.OpinionSpy.3. Для распространения утилита использует схему в несколько этапов. В различные онлайн-каталоги с ПО для OS X добавляются  первый взгляд безобидные программы. Внутри дистрибутива присутствует файл poinstall, который запускается автоматически в процессе инсталляции. Если установка приложения осуществляется в правами root, poinstall инициирует отправку на управляющий сервер серии POST-запросов. Обратно приходит ссылка для загрузки небольшого файла с расширением .osa, который содержит ZIP-архив. Утилита poinstall самостоятельно извлекает из архива файл PremierOpinion, а также файл конфигурации (XML).

Исполняемый файл PremierOpinion сразу запускается, после чего также отправляет запрос на сервер для получения ссылки на другой .osa-пакет. Из нового файла извлекается полноценная программа с аналогичным названием PremierOpinion. Приложение состоит из нескольких исполняемых файлов: утилиты PremierOpinion, которая не имеет вредоносных функций, и бэкдора PremierOpinionD, в котором и заключен опасный функционал. Если пользователь в процессе установки откажется предоставлять права администратора, на компьютер установиться только приложение, которое пользователь загрузил с сайта.

Вредоносный модуль добавляет новую иконку в перечень установленных программ и командную панель. Если кликнуть по значку, запустится браузер с интернет-страницей, на которой описано приложение PremierOpinion. Из описания следует, что программа предназначена для проведения различных маркетинговых исследования, однако не упоминается, что еще она передает владельцам информацию об атакованном ПК. Разработчики уверяют, что PremierOpinion просто следит за историей покупок и периодически предлагает принять участие в небольших опросах.

Оставить комментарий