«Настоящий» троян для MacOS

16 Фев
2012

10.02.2012 года, представители отечественного разработчика средств информационной безопасности «Доктор Веб», сообщили об обнаружении уязвимостей, заражающих одну из самых надежных ОС в мире. Первый «настоящий» троян для операционной системы Mac OS X распространяется с помощью известных уязвимостей Java.

Первые ласточки:
Наиболее широкое распространение операционная система Mac OS X получила в 2011 году, до сегодняшнего дня все уязвимости по «мак» маскировались под установочные файлы, то есть, для их внедрения в систему пользователь должен был ввести пароль root пользователя.

Развитие:
Основным отличием всех ранее известных троянов для Mac OS X, новая версия BackDoor.Flashback распространяется через уязвимость в виртуальной машине Java, имеющую кодовое название CVE-2011-3544.

Как это работает:
При открытии инфицированного сайта, в то время, когда пользователи маков видят страницу с надписью «Loading… Please wait», в систему загружается несколько Java-апплетов.

Загруженные апплеты, в свою очередь заражают систему основным модулем троянской программы BackDoor.Flashback.26, служащей для накрутки отдельных сайтов в выдаче поисковых систем.

Однако, следует отметить, что прежде чем загрузить основной модуль трояна, java-апплеты проверяют систему на наличие фаерволов LittleSnitch и Xcode, в случае если в системе присутствует фаерволы LittleSnitch или Xcode, троян «самоудаляется».

Как это выглядит:
image

Модуль с именем rhlib.jar использует уязвимость CVE-2011-3544. Он помещает в папку /tmp/ исполняемый файл .sysenterxx, выставляет ему необходимые атрибуты и запускает на выполнение.

image
По материалам Хабрахабр.



загрузка...

Комментарии:

Наверх