Главная»новости»Trojan.Muxler использует российскую фотомодель
Trojan.Muxler использует российскую фотомодель
14.03.2012
Российская антивирусная компания «Доктор Веб» опубликовала информацию о троянце Trojan.Muxler (OSX/Revir), который атакует ПК, работающие под управлением операционной системы Mac OS X. Интересно, что для обмана пользователей авторы троянца используют фотографии популярной русской фотомодели Ирины Шейк.
Угроза представляет опасность для пользователей Mac OS X: бэкдор используется в качестве средства контроля над инфицированной машиной. Он позволяет фиксировать происходящие в системе события, снимать скриншоты, скрытно запускать сторонние приложения и передавать с дисков инфицированного ПК на удаленный сервер файлы, с конфиденциальной информацией.
Троянец скрывается в ZIP-архивах, которые содержат различные фотографии известной фотомодели Ирины Шейк. Образцы этих архивов были загружены на сайт virustotal.com под именами Pictures and the Ariticle of Renzin Dorjee.zip и FHM Feb Cover Girl Irina Shayk H-Res Pics.zip. При распаковке содержимого архива кроме фотографий на диск сохраняется приложение, значок которого в окне Finder практически не отличается от эскизов других графических изображений. Это прием социальной инженерии: расчет на невнимательность пользователя. Не отличив уменьшенный эскиз фотографии от значка программы, он может случайно запустить его выполнение.
Исполняемый файл имеет имя FileAgent – это и есть троянец Trojan.Muxler.3. Зловред расшифровывает и запускает модуль бэкдора, детектируемый антивирусным ПО Dr.Web как BackDoor.Muxler.3 (OSX/Imuler). Этот модуль копируется в файл с именем .mdworker, расположенный в папке /tmp/. После запуска Trojan.Muxler.3 демонстрирует пользователю увеличенную копию фотографии и удаляет себя.
Бэкдор позволяет выполнять различные команды скачивания и запуска файлов, а также создания скриншотов рабочего стола Mac OS X. Кроме того, Trojan.Muxler.3 загружает из Интернета и сохраняет в папку /tmp/ вспомогательный файл CurlUpload, который детектируется антивирусным ПО Dr.Web как Trojan.Muxler.2 и служит для закачки различных файлов с инфицированной машины на удаленный сервер злоумышленников.
Trojan.Muxler.3 и BackDoor.Muxler.3 уже добавлены в вирусные базы антивируса Dr.Web для Mac OS X.