BackDoor.Macontrol.2 - новый троян для Mac OS X


BackDoor.Macontrol.2 - новая троянская программа для операционной системы Mac OS X. Данное приложение обладает функционалом бэкдора и способно выполнять различные команды, поступающие от принадлежащего злоумышленникам удаленного сервера.

В конце июня в компании "Доктор Веб" поступил образец почтового сообщения, содержащего в качестве вложения вредоносную программу для операционной системы Mac OS X. Данное почтовое сообщение написано на уйгурском языке и содержит вложенный zip-архив с именем

  • matiriyal.zip


Внутри архива находятся два файла:

  • графическое изображение
  • вредоносная программа matiriyal.app, имеющая значок текстового документа в формате PDF.


Это приложение, способное работать на Apple-совместимых компьютерах как архитектуры Power PC, так и x86, было добавлено в вирусные базы Dr.Web под именем BackDoor.Macontrol.2.

Uigurckii zip arhiv Uigurckii zip arhiv 2

Если в операционной системе отключено отображение расширений известных типов файлов, пользователь может попытаться открыть "документ", запустив тем самым трояна на исполнение. Наибольшую опасность BackDoor.Macontrol.2 представляет для обладателей Apple-совместимых компьютеров, работающих под управлением ОС Snow Leopard, поскольку в ней возможна запись в системную папку Library из-под учетной записи пользователя (в ОС Lion такая возможность отсутствует).

Запустившись в инфицированной системе, BackDoor.Macontrol.2 копирует себя в файл

  • /Library/launched

а затем создает конфигурационный файл

  • ~/Library/LaunchAgents/com.apple.FolderActionsxl.plist

для запуска бэкдора при старте системы. После этого троян отправляет на удаленный управляющий сервер данные об инфицированном компьютере, включая версию операционной системы, имя компьютера и учетной записи пользователя, сведения об объеме оперативной памяти, после чего переходит в режим ожидания команд. Директивы, способные выполнять бэкдор:

  • команда выключения компьютера;
  • отправки на удаленный сервер файлов;
  • запуска оболочки /bin/sh;
  • некоторые другие.