شماره: IRCNE2012031437
تاريخ: 27/12/90
محققان امنيتي شركت Intego يك نمونه جديد از تروجان Imuler را كشف كرده اند كه كاربران Mac OS X را هدف قرار داده است.
اين نسخه اخير تروجان Imuler.C سعي ميكند كاربران را با اين تصور كه در حال دانلود و سپس مشاهده فايلهاي تصويري هستند، فريب دهد. اين تروجان با استفاده از فايلهاي آرشيوي zip با نامهاي Pictures and the Ariticle of Renzin Dorjee.zip و FHM Feb Cover Girl Irina Shayk H-Res Pics.zip منتشر ميگردد.
به گفته محققان، نويسندگان اين بدافزار با تكيه بر يك تاكتيك شناخته شده مهندسي اجتماعي و تنظيمات پيش فرض Mac OS X كار ميكنند كه در آن پسوند كامل فايل به طور پيش فرض نمايش داده نميشود، چرا كه از آيكونهاي تصويري براي فايلها استفاده ميگردد.
زماني كه اين بدافزار اجرا ميشود، كارهاي زير را انجام ميدهد:
اين بدافزار يك در پشتي را به همراه ساير فايلها در /tmp/.mdworker نصب مينمايد. سپس يك پروسه به نام .mdworker آغاز ميگردد، اين پروسه توسط Spotlight براي فهرست كردن فايلها مورد استفاده قرار ميگيرد. يك فايل launchagent نيز به همراه يك فايل اجرايي در ~/library/LaunchAgents/chechvir.plist نصب ميشود كه اطمينان ايجاد ميكند كه زماني كه كاربر به سيستم خود وارد ميشود يا آن را راه اندازي مينمايد، بدافزار اجرا ميگردد. پس از يك راه اندازي مجدد، پروسه .mdworker حذف ميگردد و فايل اجراي checkvir آغاز ميشود. اين بدافزار داده هاي كاربر را جستجو ميكند و سعي ميكند آن را بر روي يك سرور بارگذاري نمايد. اين بدافزار همچنين تصوير صفحه نمايش كاربر را ضبط كرده و براي سرور ارسال مينمايد. اين بدافزار يك شناسه يكتا براي يك سيستم Mac توليد ميكند تا بين اين سيستم و داده هاي جمع آوري شده، ارتباط برقرار نمايد. مشاهده شده است كه اين بدافزار فعال بوده و با اتصال به يك سرور راه دور، فايلهاي اجرايي جديد را دانلود ميكند.
به كاربران توصيه شده است كه ويژگي نمايش پسوند فايل را فعال نمايند تا تفاوت بين فايلهاي تصويري واقعي و فايلهاي اجرايي (مانند تروجان Imuler.C) را مشاهده نمايند. همچنين كاربران بايد فايلهاي مشكوك را به سرويس VirusTotal معرفي كنند تا اطمينان حاصل نمايند كه گرفتار بدافزار نشده اند.
- 2