تروجان جديد در سيستم‌های مک

شماره: IRCNE2013021765
تاريخ: 2/12/91

يك تروجان جديد سيستم‌هاي Mac OS X كه ايجاد كننده راه نفوذ مخفي است، در حال انتشار است. اين تروجان سعي مي‌كند يك ارتباط امن با يك هكر راه دور ايجاد نمايد تا از اين طريق، اطلاعات خصوصي قرباني را جمع‌آوري كرده و براي وي ارسال كند.
اين بدافزار كه توسط شركت امنيتي اينتگو با نام Pintsized معرفي شده است، مشكوك به استفاده از يك پياده‌سازي تغيير يافته OpenSSH است كه يك ارتباط امن با يك سرور راه دور برقرار مي‌كند.
استفاده از يك ارتباط رمز شده، تشخيص و رديابي اين بدافزار را سخت‌تر مي‌نمايد، به‌خصوص كه اين بدافزار از پروتكل SSH عادي استفاده مي‌كند. بعلاوه، اين بدافزار سعي مي‌كند با تغيير قيافه فايل‌هاي خود به شكل اجزاي سيستم پرينت OS X، خود را پنهان نمايد. از جمله اجزايي كه فايل‌هاي اين بدافزار خود را به شكل آنها درمي‌آورند، مي‌توان به موارد زير اشاره كرد:

• com.apple.cocoa.plist
• cupsd (Mach-O binary)
• com.apple.cupsd.plist
• com.apple.cups.plist
• com.apple.env.plist

اينتگو مشخص نكرده است كه اين فايل‌ها در كجاي سيستم عامل قرار مي‌گيرند، ولي مانند بدافزار قبلي OS X، نياز به گزينه‌اي وجود دارد كه به‌طور خودكار در هنگام راه اندازي سيستم يا ورود كاربر، اين بدافزار نيز شروع به كار نمايد. در OS X، دايركتوري‌هاي متنوعي با اين مشخصه وجود دارند. اين دايركتوري‌ها از يك ساختار ليست دارايي (plist) استفاده مي‌كنند و مي‌توانند براي هدف قرار دادن يك فايل اجرايي و اجراي هميشگي آن بر روي سيستم، مورد استفاده قرار گيرند.
بنابراين براي بررسي آلودگي سيستم خود به اين بدافزار، دايركتوري‌هاي زير را در سيستم باز كرده و فايل‌هاي فوق را در آنها جستجو نماييد:

• /System/Library/LaunchDaemons
• /System/Library/LaunchAgents
• /Library/LaunchDaemons
• /Library/LaunchAgents
• ~/Library/LaunchAgents

از آنجايي‌كه توسعه دهندگان بدافزار از اين فولدرها براي اجراي بدافزار خود در OS X استفاده مي‌كنند، يك راه ساده براي تشخيص هر نوع سوء استفاده از آنها اين است كه هشداري را تنظيم كنيد كه هر زمان كه فايلي به آنها اضافه گردد، به شما اطلاع دهد. در اين لينك نحوه انجام اين كار شرح داده شده است.
علاوه بر بررسي اين فولدرها، شما مي‌توانيد يك فايروال معكوس مانند Little Snitch نيز نصب نماييد كه هر زمان كه برنامه‌اي سعي در ايجاد ارتباط با يك سرور راه دور را داشته باشد، به شما اطلاع مي‌دهد.
در حال حاضر هنوز مشخص نيست كه اين بدافزار چگونه حمله خود را آغاز مي‌كند، و آسيب‌پذيري مورد استفاده آن، مستند است يا ناشناخته. اما به هر حال اين بدافزار هنوز چندان گسترش نيافته است.