ArtigosNotícias

A INTEGO descobriu mais um Trojan para Mac OSX

A Intego, empresa dedicada e empenhada na proteção do Mac OS, descobriu um novo trojan chamado OSX Crisis.

Esta ameaça é um conta-gotas que cria um backdoor quando é executado, instala-se silenciosamente, sem a necessidade de uma password, e só funciona em versões Mac OSX 10,6 e 10,7 – Snow Leopard e Lion.

Este Trojan Horse  preserva-se mesmo quando do reinicio do sistema, pelo que continua a funcionar até que seja removido. Dependendo se o vírus é executado ou não, numa conta com permissões de administrador, irá instalar componentes diferentes.

Se for executado num sistema com permissões de administrador, vai criar um rootkit para se esconder. Em ambos os casos, cria-se uma série de arquivos e pastas para completar suas tarefas, 17 arquivos quando ele é executado com permissões de administrador, 14 arquivos quando é executado sem permissões de administrador. Muitas destas pasta são criadas com nomes aleatórios, mas há algumas que são sempre iguais.

Com ou sem permissões de administrador, é criada esta pasta :

  • /Library/ScriptingAdditions/appleHID/

Apenas com permissões de administrador, é criada esta pasta :

  • /System/Library/Frameworks/Foundation.framework/XPCServices/

O backdoor envia mensagens para o endereço IP 176.58.100.37 a cada 5 minutos, aguardando instruções. O arquivo é criado de maneira que as “reverse engineering tools” sejam mais difíceis de utilizar na análise do arquivo. Este tipo de anti-análise técnica é comum no malware criado para Windows, mas normalmente não é utilizado em malware criado para OS X.

Fonte

Etiquetas

Artigos Relacionados

Close
Close