«Доктор Веб» обнаружил новый бэкдор для Mac

Пятница, 12 Мая 2017 г. 03:00 + в цитатник

12 мая 2017 года

Специалисты компании «Доктор Веб» обнаружили и исследовали троянца для операционной системы Apple macOS, способного выполнять поступающие от злоумышленников команды.

Троянец-бэкдор был добавлен в вирусные базы Dr.Web под именем Mac.BackDoor.Systemd.1. В момент старта он выводит в консоль сообщение с опечаткой «This file is corrupted and connot be opened» и перезапускает себя в качестве демона с именем systemd. При этом Mac.BackDoor.Systemd.1 пытается скрыть собственный файл, установив для него соответствующие флаги. Затем троянец регистрирует себя в автозагрузке, для чего создает файл с командами sh и файл .plist.

Зашифрованная конфигурационная информация хранится в самом файле троянца. В зависимости от нее Mac.BackDoor.Systemd.1 либо сам устанавливает связь с управляющим сервером, либо ожидает входящего запроса на соединение. После установки связи бэкдор выполняет поступающие команды и периодически отсылает злоумышленникам следующую информацию:

наименование и версия операционной системы;
имя пользователя;
наличие у пользователя привилегии администратора (root);
MAC-адреса всех доступных сетевых интерфейсов;
IP-адреса всех доступных сетевых интерфейсов;
внешний IP-адрес;
тип процессора;
объем оперативной памяти;
данные о версии вредоносной программы и ее конфигурации.

Троянец имеет собственный файловый менеджер, с использованием которого киберпреступники могут выполнять различные действия с файлами и папками на зараженном компьютере. Бэкдор способен выполнять следующие команды:

получить список содержимого заданной директории;
прочитать файл;
записать в файл;
получить содержимое файла;
удалить файл или папку;
переименовать файл или папку
изменить права для файла или папки (команда chmod);
изменить владельца файлового объекта (команда chown);
создать папку;
выполнить команду в оболочке bash;
обновить троянца;
переустановить троянца;
сменить IP-адрес управляющего сервера;
установить плагин.

Троянец Mac.BackDoor.Systemd.1 обнаруживается и удаляется продуктами Dr.Web для Mac и потому не представляет опасности для наших пользователей.

Подробнее о троянце

http://feedproxy.google.com/~r/drweb/viruses/~3/L5OjrMbh3GQ/

<a href="https://www.liveinternet.ru/users/rss_drweb_viruses/post414968279/">В«Р”РѕРєС‚РѕСЂ Р’РµР±В» РѕР±РЅР°СЂСѓР¶РёР» РЅРѕРІС‹Р№ Р±СЌРєРґРѕСЂ РґР»СЏ Mac</a><br/>12 РјР°СЏ  2017 РіРѕРґР°
РЎРїРµС†РёР°Р»РёСЃС‚С‹ РєРѕРјРїР°РЅРёРё В«Р”РѕРєС‚РѕСЂ Р’РµР±В» РѕР±РЅР°СЂСѓР¶РёР»Рё Рё РёСЃСЃР»РµРґРѕРІР°Р»Рё С‚СЂРѕСЏРЅС†Р° РґР»СЏ РѕРїРµСЂР°С†РёРѕРЅРЅРѕР№ СЃРёСЃС‚РµРјС‹ Apple macOS, СЃРїРѕСЃРѕР±РЅРѕРіРѕ РІС‹РїРѕР»РЅСЏС‚СЊ РїРѕСЃС‚СѓРїР°СЋС‰РёРµ РѕС‚ Р·Р»РѕСѓРјС‹С€Р»РµРЅРЅРёРєРѕРІ РєРѕРјР°РЅРґС‹.
РўСЂРѕСЏРЅРµС†-Р±СЌРєРґРѕСЂ Р±С‹Р» РґРѕР±Р°РІР»РµРЅ РІ РІРёСЂСѓСЃРЅС‹Рµ Р±Р°Р·С‹ Dr.Web РїРѕРґ РёРјРµРЅРµРј Mac.BackDoor.Systemd.1. Р’ РјРѕРјРµРЅС‚ СЃС‚Р°СЂС‚Р° РѕРЅ РІС‹РІРѕРґРёС‚ РІ РєРѕРЅСЃРѕР»СЊ СЃРѕРѕР±С‰РµРЅРёРµ СЃ РѕРїРµС‡Р°С‚РєРѕР№ В«This file is corrupted and connot be openedВ» Рё РїРµСЂРµР·Р°РїСѓСЃРєР°РµС‚ СЃРµР±СЏ РІ РєР°С‡РµСЃС‚РІРµ РґРµРјРѕРЅР° СЃ РёРјРµРЅРµРј systemd. РџСЂРё СЌС‚РѕРј Mac.BackDoor.Systemd.1 РїС‹С‚Р°РµС‚СЃСЏ СЃРєСЂС‹С‚СЊ СЃРѕР±СЃС‚РІРµРЅРЅС‹Р№ С„Р°Р№Р», СѓСЃС‚Р°РЅРѕРІРёРІ РґР»СЏ РЅРµРіРѕ СЃРѕРѕС‚РІРµС‚СЃС‚РІСѓСЋС‰РёРµ С„Р»Р°РіРё. Р—Р°С‚РµРј С‚СЂРѕСЏРЅРµС† СЂРµРіРёСЃС‚СЂРёСЂСѓРµС‚ СЃРµР±СЏ РІ Р°РІС‚РѕР·Р°РіСЂСѓР·РєРµ, РґР»СЏ С‡РµРіРѕ СЃРѕР·... <a href="https://www.liveinternet.ru/users/rss_drweb_viruses/post414968279/">Р§РёС‚Р°С‚СЊ РґР°Р»РµРµ...</a>

Комментировать

« Пред. запись — К дневнику — След. запись »

Страницы: [1] [Новые]

LiveInternetLiveInternet

-Поиск по дневнику

-Подписка по e-mail

-Постоянные читатели

-Статистика

«Доктор Веб» обнаружил новый бэкдор для Mac