SDA
06.11.2009, 12:09
По данным вирусной базы Dr.Web
Mac.Iservice.2
(Backdoor.OSX.iWorm.b, OSX.Iservice, OSX/iWorkS-B, Backdoor:OSX/IworkServ.B)
Добавлен в вирусную базу Dr.Web: 2009-05-16 06:25
Техническая информация
Распространяется в пиратских дистрибутивах известных программ для платформы Mac OS X. В отличии от Mac.Iservice.1, эта модификация троянца распространяется в составе пиратских дистрибутивов известных программ в виде программ генераторов лицензий (keygen). Именно эти генераторы и устанавливают в систему троянскую программу, причем при запуске такого генератора он запрашивает ввести пароль администратора, что само по себе является подозрительным. После запуска и ввода пароля администратора в систему устанавливается и активируется троянская программа.
В процессе установки вирус копирует себя в следующие системные каталоги: Исполняемый файл троянской программы устанавливается в /usr/bin/ DivX. Для автозапуска вместе со стартом системы тронская программа прописывает себя в качестве параметра автозагрузки в /System/Library/StartupItems/DivX/
Здесь размещается shell-скрипт со следующим содержимым:
#!/bin/sh
/usr/bin/DivX &
Его задачей является запустить на выполнения троянскую программу, которая в случаи наличия интернет-соединения активирует зараженную машину в ботнет-сеть.
Конфигурационный файл расположен здесь:
/System/Library/StartupItems/DivX/StartupParameters.plist
По умолчанию файл StartupParameters.plist содержит следующие параметры:
{
Description = ("DivX");
Provides = ("DivX");
Requires = ("Network");
OrderPreference = "None";}
Зараженным компьютером осуществляется сетевое взаимодействие по протоколу TCP со следующими хостами (хост:порт):
69.*.*.146:59201
qw*****k.free*****a.com:1024
Зараженный хост становится частью ботнета и может удаленно выполнять следующий набор команд:
Конфигурирование бота:
clear - удаление значения параметра из конфигурационного файла бота
get - получить значение параметра из конфигурационного файла бота
Обновление и добавление функционала:
httpget - скачать удаленный файл
httpgeted - скачать удаленный файл и запустить его на выполнение
Управление ботом:
sendlogs - получить лог-файл именем "ff"
platform - каждый раз возвращает "OSX"
rand - генерация псевдослучайного числа
rshell - установить удаленное соединение с host:port
script - выполнение сценария на языке программирования LUA
set - установка параметров в конфигурационный файл бота
shell - открыть системную консоль по заданному порту
sleep - остановиться на указанный временной интервал
system - выполнить заданную системную команду
uid - получить уникальный идентификатор бота
uptime - время работы бота без перезагрузки
Управление p2p-ботнетом:
p2pihist
p2pihistsize
p2plock
p2pmode
p2ppeer
p2ppeerport
p2ppeertype
p2pport
p2punlock
banadd
banclear
socks
leafs
nodes
Mac.DnsChange.2
(UNIX_JAHLAV.B, Trojan.Mac.Dnscha.f, OSX/Jahlav-C, OSX.RSPlug.A, OSX_JAHLAV.B)
Добавлен в вирусную базу Dr.Web: 2009-06-24 05:58
Техническая информация
Изначально был распространен в социальной сети Twitter в сообщении содержащем текст "Leighton Meester sex tape video free download!" и ссылку ведущую на вредоносный ресурс http://worldt**e.su. При посещении этой ссылке пользователю предлагается посмотреть видео-ролик, при клике на котором начинается загрузка дополнительного видео-кодека.
После того, как будет запущен файл ActiveXsetup.dmg, запустится установщик install.pkg, который предложит установить в систему вредоносную программу MacCinema.
Будучи запущенным неосторожным пользователем, троянец расшифровывает установочные shell-сценарии для загрузки основного сценария. В систему загружается Perl-сценарий с ресурса http://212.*.*.219/cgi-bin/generator.pl. Сетевое взаимодействие осуществляется по протоколу HTTP, причем значение User-Agent должно быть специального вида. Иначе происходит переадресация на поисковый сервис Google с нецензурным поисковым запросом.
Загруженный сценарий устанавливается в системную директорию /Library/Internet Plug-Ins/AdobeFalsh, пытаясь замаскироваться под программы от компании Adobe.
Вредоносный сценарий осуществляет подмену DNS-запросов в процессе работы пользователя с браузером.
И все таки нужен ли Антивирус на Mac OS? Еще один взгляд маковода
http://www.macjournal.ru/mac-os-x/antivirus-mac-os
Р.S. некоторые оппоненты на форуме ЛК считают меня некомпетентным фанатом, нахватавшимся рекламных лозунгов. :) Правда сами в руках макбук не разу не держали. Это их самые "весомые аргументы" ;)
Mac.Iservice.2
(Backdoor.OSX.iWorm.b, OSX.Iservice, OSX/iWorkS-B, Backdoor:OSX/IworkServ.B)
Добавлен в вирусную базу Dr.Web: 2009-05-16 06:25
Техническая информация
Распространяется в пиратских дистрибутивах известных программ для платформы Mac OS X. В отличии от Mac.Iservice.1, эта модификация троянца распространяется в составе пиратских дистрибутивов известных программ в виде программ генераторов лицензий (keygen). Именно эти генераторы и устанавливают в систему троянскую программу, причем при запуске такого генератора он запрашивает ввести пароль администратора, что само по себе является подозрительным. После запуска и ввода пароля администратора в систему устанавливается и активируется троянская программа.
В процессе установки вирус копирует себя в следующие системные каталоги: Исполняемый файл троянской программы устанавливается в /usr/bin/ DivX. Для автозапуска вместе со стартом системы тронская программа прописывает себя в качестве параметра автозагрузки в /System/Library/StartupItems/DivX/
Здесь размещается shell-скрипт со следующим содержимым:
#!/bin/sh
/usr/bin/DivX &
Его задачей является запустить на выполнения троянскую программу, которая в случаи наличия интернет-соединения активирует зараженную машину в ботнет-сеть.
Конфигурационный файл расположен здесь:
/System/Library/StartupItems/DivX/StartupParameters.plist
По умолчанию файл StartupParameters.plist содержит следующие параметры:
{
Description = ("DivX");
Provides = ("DivX");
Requires = ("Network");
OrderPreference = "None";}
Зараженным компьютером осуществляется сетевое взаимодействие по протоколу TCP со следующими хостами (хост:порт):
69.*.*.146:59201
qw*****k.free*****a.com:1024
Зараженный хост становится частью ботнета и может удаленно выполнять следующий набор команд:
Конфигурирование бота:
clear - удаление значения параметра из конфигурационного файла бота
get - получить значение параметра из конфигурационного файла бота
Обновление и добавление функционала:
httpget - скачать удаленный файл
httpgeted - скачать удаленный файл и запустить его на выполнение
Управление ботом:
sendlogs - получить лог-файл именем "ff"
platform - каждый раз возвращает "OSX"
rand - генерация псевдослучайного числа
rshell - установить удаленное соединение с host:port
script - выполнение сценария на языке программирования LUA
set - установка параметров в конфигурационный файл бота
shell - открыть системную консоль по заданному порту
sleep - остановиться на указанный временной интервал
system - выполнить заданную системную команду
uid - получить уникальный идентификатор бота
uptime - время работы бота без перезагрузки
Управление p2p-ботнетом:
p2pihist
p2pihistsize
p2plock
p2pmode
p2ppeer
p2ppeerport
p2ppeertype
p2pport
p2punlock
banadd
banclear
socks
leafs
nodes
Mac.DnsChange.2
(UNIX_JAHLAV.B, Trojan.Mac.Dnscha.f, OSX/Jahlav-C, OSX.RSPlug.A, OSX_JAHLAV.B)
Добавлен в вирусную базу Dr.Web: 2009-06-24 05:58
Техническая информация
Изначально был распространен в социальной сети Twitter в сообщении содержащем текст "Leighton Meester sex tape video free download!" и ссылку ведущую на вредоносный ресурс http://worldt**e.su. При посещении этой ссылке пользователю предлагается посмотреть видео-ролик, при клике на котором начинается загрузка дополнительного видео-кодека.
После того, как будет запущен файл ActiveXsetup.dmg, запустится установщик install.pkg, который предложит установить в систему вредоносную программу MacCinema.
Будучи запущенным неосторожным пользователем, троянец расшифровывает установочные shell-сценарии для загрузки основного сценария. В систему загружается Perl-сценарий с ресурса http://212.*.*.219/cgi-bin/generator.pl. Сетевое взаимодействие осуществляется по протоколу HTTP, причем значение User-Agent должно быть специального вида. Иначе происходит переадресация на поисковый сервис Google с нецензурным поисковым запросом.
Загруженный сценарий устанавливается в системную директорию /Library/Internet Plug-Ins/AdobeFalsh, пытаясь замаскироваться под программы от компании Adobe.
Вредоносный сценарий осуществляет подмену DNS-запросов в процессе работы пользователя с браузером.
И все таки нужен ли Антивирус на Mac OS? Еще один взгляд маковода
http://www.macjournal.ru/mac-os-x/antivirus-mac-os
Р.S. некоторые оппоненты на форуме ЛК считают меня некомпетентным фанатом, нахватавшимся рекламных лозунгов. :) Правда сами в руках макбук не разу не держали. Это их самые "весомые аргументы" ;)