Intego: Обнаружен опасный троян для Mac OS

IntegoЭкспертами антивирусной компании Intego был обнаружен вирус для платформы Mac OS X, создающий на системе различные файлы в зависимости от того, был ли он загружен с привилегиями администратора. Установка вредоносной программы проходит незаметно и без взаимодействия с пользователем. Компонент бекдора обнаруженной экспертами версии вируса каждые 5 минут подключается к IP-адресу 176.58.100.37 и запрашивает у него инструкции.

Троян Crisis заинтересовал экспертов тем, что может установиться на систему, используя права пользователя с низким уровнем привилегий. При отсутствии привилегий администратора он устанавливает компоненты, применяющие системные вызовы низкого уровня, что позволяет ему замаскировать свое присутствие на компьютере.

Если модуль дроппера вируса запускается на системе с административными привилегиями, он сразу устанавливает руткит-компонент и обнаружить его также становиться очень трудно.

Всего вредоносная программа запускает

  • 17 файлов - при установке с административными правами;
  • 14 файлов - при наличии клиентских прав.


Названия большинства файлов получают случайный набор символов. Файл создается таким образом, чтобы при его анализе усложнить использование инструментов реверс инжиниринга.

Образец вируса уже несколько раз загружался на сайт VirusTotal, и большинство антивирусных компаний в скором времени должны добавить его в сигнатуры угроз.

Обнаруженная на сегодняшний день версия вируса работает только в OS X 10.6 Snow Leopard и OS X 10.7 Lion. Однако специалисты Intego не могут точно сказать, сможет ли вирус заразить OS X 10.8 Mountain Lion, который выходит сегодня. Эта угроза в очередной раз подчеркивает важность защиты платформ Apple с помощью современных решений информационной безопасности, а также надежной системы обновлений программного обеспечения.


Обновлено (25.07.2012 12:57)