Главная»новости»BackDoor.Macontrol.2: новый троян для Mac OS
BackDoor.Macontrol.2: новый троян для Mac OS
06.07.2012
Российский разработчик антивирусных продуктов – компания «Доктор Веб» – опубликовала данные о новой троянской программе для операционной системы Mac OS X. Это приложение, способное работать на Apple-совместимых ПК как архитектуры Power PC, так и x86, было добавлено в базы сигнатур Dr.Web под наименованием BackDoor.Macontrol.2. Для нового трояна характерен функционал бэкдора – он ориентирован на выполнение различных команд, поступающих от удаленного сервера, контролируемого злоумышленниками. Среди директив, которые способен выполнять бэкдор – команда выключения компьютера, отправки на удаленный сервер файлов, запуска оболочки /bin/sh и некоторые другие.
Как сказано в сообщении «Доктор Веб», еще в конце июня в антивирусную лабораторию компании поступило электронное письмо, в котором в качестве вложения присутствовал вредонос для Mac OS X. Не обошлось без экзотики: письмо было написано на уйгурском языке и содержало вложенный zip-архив с именем matiriyal.zip. Внутри архива оказались два файла: графическое изображение и вредоносная программа matiriyal.app, имеющая значок PDF-документа. Если в операционной системе отключено отображение расширений известных типов файлов, пользователь может попытаться открыть «документ», запустив тем самым исполнение трояна. Впрочем, то же самое может произойти если пользователь просто недостаточно внимателен или компетентен.
Запустившись в инфицированной системе, BackDoor.Macontrol.2 копирует себя в файл /Library/launched, а затем создает конфигурационный файл ~/Library/LaunchAgents/com.apple.FolderActionsxl.plist для запуска бэкдора при старте системы. После этого вредонос отправляет на удаленный управляющий сервер данные об инфицированном ПК, включая версию ОС, имя компьютера и учетной записи пользователя, данные об объеме оперативной памяти – и переходит в режим ожидания команд.
По словам экспертов, наибольшую опасность BackDoor.Macontrol.2 представляет для обладателей компьютеров Apple, работающих под управлением ОС Snow Leopard. Причина в том, что в ней возможна запись в системную папку Library из-под учетной записи пользователя (в ОС Lion такая возможность отсутствует).