شماره: IRCNE2012041468
تاريخ: 27/01/91
يك تروجان ديگر براي سيستمهاي Mac OS X كشف شده است كه مانند Flashback، از آسيب پذيريهاي جاوا سوء استفاده ميكند. اين تروجان همچنين به تعامل كاربر براي صدمه زدن به سيستم وي نيازي ندارد. شركت امنيتي كسپراسكاي اين تروجان را Backdoor.OSX.SabPub.a و شركت سوفوس نيز آن را SX/Sabpab-A ناميده اند.
اين تروجان مانند اغلب همتايان خود پس از آلوده كردن يك سيستم Mac، با استفاده از HTTP و به روش دستور و كنترل (C&C) از راه دور به يك وب سايت متصل ميگردد تا دستورات هكرها را دريافت نمايد. اين در پشتي شامل عملكردهايي براي تهيه تصوير از نشست فعلي كاربر، بارگذاري و دانلود فايل و اجراي دستورات از راه دور بر روي سيستم آلوده ميباشد. لاگهاي رمزگذاري شده به سرور كنترل ارسال ميگردند تا هكرها بتوانند فعاليت سيستم را مورد نظارت قرار دهند.
به نظر ميرسد كه اين وب سايت دستور و كنترل از راه دور بر روي سرويس DNS پوياي رايگان onedumb.com ميزباني ميگردد. نكته جالب توجه اين است كه اين آدرس IP پيش از اين نيز در حملات هدفمند ديگري مورد استفاده قرار گرفته است. اين حمله خاص ممكن است از طريق ايميلهاي حاوي يك URL كه به دو وب سايت ميزبان كد سوء استفاده كننده اشاره ميكند آغاز شده باشد. اين وب سايتها در آلمان و ايالات متحده آمريكا قرار دارند.
اين تروجان احتمالا در 16 مارس 2012 ايجاد شده است. البته به نظر ميرسد كه اين نسخه نهايي اين تروجان نيست. شما ميتوانيد با جستجوي فايلهاي زير، در مورد آلودگي يا عدم آلودگي سيستم Mac خود نتيجه گيري نماييد:
/Library/Preferences/com.apple.PubSabAgent.pfile
/Library/LaunchAgents/com.apple.PubSabAGent.plist
خبر خوب اين است كه به نظر ميرسد كه بر خلاف Flashback، اين تروجان به طور گسترده منتشر نميگردد و درصورتيكه شما آخرين به روز رسانيهاي Apple را براي آسيب پذيريهاي جاوا نصب كرده باشيد (يا اينكه جاوا را غيرفعال كرده باشيد)، در برابر آن محافظت ميشويد. خبر بد نيز اين است كه اين نوع تروجانها با سرعت فزاينده اي روز به روز بيشتر خواهند شد.
مطالب مرتبط:
تلاش Apple براي ساخت ابزار حذف Flashback
بررسي آلوده بودن Mac با تروجان Flashback توسط يك ابزار وب رايگان
به روز رساني مجدد جاوا
به روز رساني جاوا براي OS X
كاربران Mac در معرض خطر آسيب پذيري اصلاح نشده جاوا
- 2