شماره: IRCNE2013091959
تاريخ:24/06/92
نوع جديدي از بدافزار Tibet براي OS X كشف شده است. اين بدافزار از يك آسيب پذيري كه اخيرا در جاوا اصلاح شده است استفاده مي كند تا يك سرويس راه نفوذ مخفي را در سيستم هاي هدف نصب نمايد و به هكر اجازه دهد تا از راه دور وارد سيستم شده و فايل ها را به سرقت ببرد.
اين بدافزار در يك فايل ZIP يا در قالب برنامه هاي كاربردي به عنوان تصاوير يا انواع ديگر فايل ها بسته بندي مي شود. هنگامي كه اين فايل ها اجرا مي شود يك راه نفوذ مخفي را نصب مي كند كه به كاربر راه دور اجازه مي دهد تا وارد سيستم شده و اطلاعات شخصي را به سرقت ببرد.
در حال حاضر بدافزار Tibet سه نوع شناخته شده دارد كه آخرين نوع آن يك سال پيش كشف شده است. در نسخه هاي قديمي، اين بدافزار در قالب نصب كننده هاي فايل منتشر شده يا از آسيب پذيري هاي موجود در برنامه هاي كاربردي آفيس سوء استفاده كرده است. اما نسخه جديد اين بدافزار از يك آسيب پذيري كه اخيرا در جاوا اصلاح شده است براي نصب خود استفاده مي كند. زماني كه اين بدافزار نصب شد، برنامه كاربردي پنهان زير اجرا مي شود:
/Library/Audio/Plug-Ins/Components/AudioService
/Library/LaunchAgents/com.apple.AudioService.plist
با توجه به ماهيت كد سوء استفاده جاوا كه در اين حمله استفاده مي شود، اين فايل هاي خرابكار بدون رمز عبور نصب مي شوند.
براي بررسي و حذف اين بدافزار، به سادگي در سيستم خود به پوشه هاي بالا رفته و فايل هاي مربوطه را در صورت وجود حذف مي نماييد و سپس سيستم خود را دوباره راه اندازي نماييد تا هر نمونه از بدافزار كه در پس زمينه در حال اجراست پاك شود.
اين بدافزار هنوز گسترش نيافته است و اگر چه اوراكل رخنه هاي موجود در جاوا را برطرف كرده است و اپل نيز به روز رساني هايي براي سرويس XProtect خود منتشر كرده است ممكن است بدافزارهاي ديگري از كدهاي سوء استفاه مشابه استفاده كرده باشند. بنابراين براي حفاظت از خود در برابر چنين حملاتي مي توانيد اقدامات ذيل را انجام دهيد:
1. سيستم خود را به روز رساني نماييد.
2. جاوا را غيرفعال نماييد.
3. عوامل و پوشه هاي مربوط به راه اندازي سيستم را نظارت نماييد.
- 2