en

تروجاني كه كاربران Mac را هدف گرفته است

شماره: IRCNE2012031437
تاريخ: 27/12/90
محققان امنيتي شركت Intego يك نمونه جديد از تروجان Imuler را كشف كرده اند كه كاربران Mac OS X را هدف قرار داده است.
اين نسخه اخير تروجان Imuler.C سعي مي­كند كاربران را با اين تصور كه در حال دانلود و سپس مشاهده فايل­هاي تصويري هستند، فريب دهد. اين تروجان با استفاده از فايل­هاي آرشيوي zip با نام­هاي Pictures and the Ariticle of Renzin Dorjee.zip و FHM Feb Cover Girl Irina Shayk H-Res Pics.zip منتشر مي­گردد.
به گفته محققان، نويسندگان اين بدافزار با تكيه بر يك تاكتيك شناخته شده مهندسي اجتماعي و تنظيمات پيش فرض Mac OS X كار مي­كنند كه در آن پسوند كامل فايل به طور پيش فرض نمايش داده نمي­شود، چرا كه از آيكون­هاي تصويري براي فايل­ها استفاده مي­گردد.
زماني كه اين بدافزار اجرا مي­شود، كارهاي زير را انجام مي­دهد:
اين بدافزار يك در پشتي را به همراه ساير فايل­ها در /tmp/.mdworker نصب مي­نمايد. سپس يك پروسه به نام .mdworker آغاز مي­گردد، اين پروسه توسط Spotlight براي فهرست كردن فايل­ها مورد استفاده قرار مي­گيرد. يك فايل launchagent نيز به همراه يك فايل اجرايي در ~/library/LaunchAgents/chechvir.plist نصب مي­شود كه اطمينان ايجاد مي­كند كه زماني كه كاربر به سيستم خود وارد مي­شود يا آن را راه اندازي مي­نمايد، بدافزار اجرا مي­گردد. پس از يك راه اندازي مجدد، پروسه .mdworker حذف مي­گردد و فايل اجراي checkvir آغاز مي­شود. اين بدافزار داده هاي كاربر را جستجو مي­كند و سعي مي­كند آن را بر روي يك سرور بارگذاري نمايد. اين بدافزار همچنين تصوير صفحه نمايش كاربر را ضبط كرده و براي سرور ارسال مي­نمايد. اين بدافزار يك شناسه يكتا براي يك سيستم Mac توليد مي­كند تا بين اين سيستم و داده هاي جمع آوري شده، ارتباط برقرار نمايد. مشاهده شده است كه اين بدافزار فعال بوده و با اتصال به يك سرور راه دور، فايل­هاي اجرايي جديد را دانلود مي­كند.
به كاربران توصيه شده است كه ويژگي نمايش پسوند فايل را فعال نمايند تا تفاوت بين فايل­هاي تصويري واقعي و فايل­هاي اجرايي (مانند تروجان Imuler.C) را مشاهده نمايند. همچنين كاربران بايد فايل­هاي مشكوك را به سرويس VirusTotal معرفي كنند تا اطمينان حاصل نمايند كه گرفتار بدافزار نشده اند.

The Wall

No comments
You need to sign in to comment

news specifications

 
Added 27 Esfand 1390

Tags

Rate

Your rate:
Total: (0 rates)