یك تروجان جدید Mac OS X كشف شده است كه بر اساس اینكه بر روی حساب كاربری با مجوزهای Admin اجرا میشود یا خیر، اجزای مختلفی را بر روی سیستم قربانی نصب میكند. این تهدید خود را بدون سر و صدا نصب مینماید و برای ضربه زدن به سیستم Mac، نیازی به كلمه عبور كاربر ندارد. جزء راه نفوذ مخفی این بدافزار هر پنج دقیقه یكبار با آدرس آی پی 176.58.100.37 تماس برقرار كرده و منتظر دستورات میماند.
شركت امنیتی Intego كه پس از كشف این بدافزار امضاهای ضد بدافزار خود را به روز كرده است، آن را OSX/Crisis نامیده است.
این تروجان مثل اغلب تروجانهای دیگر زمانی كه اجرا میگردد، بی سر و صدا یك راه نفوذ مخفی نصب میكند. اما چیزی كه نگران كننده است این است كه OSX/Crisis بر اساس اینكه حساب كاربر دارای مجوزهای Admin باشد یا خیر، اجزای مختلفی را بر روی سیستم قربانی نصب مینماید كه از آنها برای پنهان كردن فعالیتهای خود استفاده میكند. البته این تروجان همیشه تعدادی فایل و فولدر برای انجام كار خود ایجاد مینماید.
اگر این بدافزار بر روی سیستمی با مجوزهای Admin اجرا گردد، برای پنهان كردن خود یك rootkit بر روی سیستم قرار میدهد. این بدافزار زمانی كه با مجوز Admin اجر میشود، 17 فایل ایجاد میكند و زمانی كه بدون مجوز Admin اجرا میگردد، 14 فایل. بسیاری از این فایلها به طور تصادفی نامگذاری میشوند، ولی برخی فایلها نیز دارای نامهای ثابت هستند. به هر حال این فولدر تحت هر شرایطی ایجاد میگردد:
/Library/ScriptingAdditions/appleHID/
اما در صورت داشتن مجوز Admin، فولدر زیر نیز ایجاد میشود:
/System/Library/Frameworks/Foundation.framework/XPCServices/
به گفته یك سخنگوی Intego، این فایل به روشی ایجاد میشود كه استفاده از ابزارهای مهندسی معكوس در هنگام تحلیل فایل را مشكل میسازد. این نوع تكنیك ضد تحلیل در بدافزارهای ویندوز معمول است، ولی در مورد بدافزارهای OS X روشی غیر معمول به حساب می آید.
این بدافزار خاص صرفا سیستمهای OS X 10.6 Snow Leopard و OS X 10.7 Lion را تحت تاثیر قرار میدهد.
عضو شوید
عضویت سریع
آمار مطالب
آمار بازدید
آمار
وب سایت:
