تروجان جديد Mac OS X

شماره: IRCNE2012071564
تاريخ: 04/05/91

يك تروجان جديد Mac OS X كشف شده است كه بر اساس اينكه بر روي حساب كاربري با مجوزهاي Admin اجرا مي­شود يا خير، اجزاي مختلفي را بر روي سيستم قرباني نصب مي­كند. اين تهديد خود را بدون سر و صدا نصب مي­نمايد و براي ضربه زدن به سيستم Mac، نيازي به كلمه عبور كاربر ندارد. جزء راه نفوذ مخفي اين بدافزار هر پنج دقيقه يكبار با آدرس آي پي 176.58.100.37 تماس برقرار كرده و منتظر دستورات مي­ماند.
شركت امنيتي Intego كه پس از كشف اين بدافزار امضاهاي ضد بدافزار خود را به روز كرده است، آن را OSX/Crisis ناميده است.
اين تروجان مثل اغلب تروجان­هاي ديگر زماني كه اجرا مي­گردد، بي سر و صدا يك راه نفوذ مخفي نصب مي­كند. اما چيزي كه نگران كننده است اين است كه OSX/Crisis بر اساس اينكه حساب كاربر داراي مجوزهاي Admin باشد يا خير، اجزاي مختلفي را بر روي سيستم قرباني نصب مي­نمايد كه از آنها براي پنهان كردن فعاليت­هاي خود استفاده مي­كند. البته اين تروجان هميشه تعدادي فايل و فولدر براي انجام كار خود ايجاد مي­نمايد.
اگر اين بدافزار بر روي سيستمي با مجوزهاي Admin اجرا گردد، براي پنهان كردن خود يك rootkit بر روي سيستم قرار مي­دهد. اين بدافزار زماني كه با مجوز Admin اجر مي­شود، 17 فايل ايجاد مي­كند و زماني كه بدون مجوز Admin اجرا مي­گردد، 14 فايل. بسياري از اين فايل­ها به طور تصادفي نامگذاري مي­شوند، ولي برخي فايل­ها نيز داراي نام­هاي ثابت هستند. به هر حال اين فولدر تحت هر شرايطي ايجاد مي­گردد:
/Library/ScriptingAdditions/appleHID/
اما در صورت داشتن مجوز Admin، فولدر زير نيز ايجاد مي­شود:
/System/Library/Frameworks/Foundation.framework/XPCServices/
به گفته يك سخنگوي Intego، اين فايل به روشي ايجاد مي­شود كه استفاده از ابزارهاي مهندسي معكوس در هنگام تحليل فايل را مشكل مي­سازد. اين نوع تكنيك ضد تحليل در بدافزارهاي ويندوز معمول است، ولي در مورد بدافزارهاي OS X روشي غير معمول به حساب مي آيد.
اين بدافزار خاص صرفا سيستم­هاي OS X 10.6 Snow Leopard و OS X 10.7 Lion را تحت تاثير قرار مي­دهد.