شماره: IRCNE201006766
به گفته شركت امنيتي Intego، آن دسته از كاربران Mac كه نرم افزارهاي محافظ صفحه نمايش و يك برنامه مبدل ويدئو را به طور رايگان از سايتهاي دانلود مشهور دريافت كرده اند، جاسوس افزاري را نيز دريافن كرده اند كه يك در پشتي بر روي سيستم آنها نصب كرده، داده ها را جمع آوري كرده، و اطلاعات رمز شده را به سرورهاي راه دور ارسال مينمايد.
اين جاسوس افزار خطرناك كه OSX/OpinionSpy نام دارد، به همراه 30 برنامه محافظ صفحه نمايش توليد شده توسط شركتي به نام 7art و برنامه اي به نام MishInc FLV to MP3 نصب ميگردد.
به گزارش شركت Intego، اين برنامه ها بر روي سايتهاي Softpedia، MacUpdate، و VersionTracker قرار گرفته اند.
VersionTracker اكنون تمامي اين نرم افزارها را از روي سايت خود حذف كرده است. يك سخنگوي MacUpdate نيز اظهار داشت كه اين شركت، نرم افزارهاي محافظ صفحه نمايش را غير فعال كرده است و مبدل MishInc را نيز از ابتدا عرضه نكرده است.
اين جاسوس افزار كه نسخه ويندوزي آن نيز از سال 2008 موجود است، در درون اين برنامه ها قرار ندارد، بلكه در زمان نصب اين برنامه ها دانلود ميگردد.
هنوز دقيقا مشخص نيست كه داده هايي كه اين جاسوس افزار جمع آوري و براي سرور راه دور ارسال ميكند چه داده هايي هستند، اما اين داده ها ميتواند شامل اطلاعات شخصي مانند نامهاي كاربري، كلمات عبور، و شماره كارتهاي اعتباري باشد.
در زير كاري كه اين جاسوس افزار انجام ميدهد به صورت مرحله به مرحله بيان شده است:
- به عنوان root با حقوق دسترسي كامل براي دسترسي و تغيير هر فايلي بر روي سيستم اجرا ميشود.
- يك در پشتي با استفاده از پورت 8254 باز ميكند.
- تمامي فايلهاي قابل دسترسي بر روي درايوهاي محلي يا شبكه را اسكن مينمايد.
- بسته هايي را كه از روي شبكه محلي به سيستم وارد شده يا از آن خارج ميشوند تحليل كرده يك سيستم Mac آلوده را مسوول جمع آوري داده ها از سيستمهاي مختلف شبكه محلي ميكند.
- كدي را بدون نياز به دخالت كاربر به Firefox، Safari، و يا iChat تزريق كرده و داده هاي شخصي را از اين برنامه ها كپي مينمايد.
- بطور متناوب و با استفاده از پورت 80 و 442، داده هاي رمز شده در مورد فايلهاي اسكن شده و نيز ساير اطلاعات شامل آدرسهاي ايميل، هدرهاي پيغامهاي iChat، و URL ها را به تعدادي سرور ارسال میکند.
اين جاسوس افزار ميتواند به طور خودكار و بدون اطلاع كاربر، ارتقا يافته و ويژگيهاي جديدي به آن اضافه شود. در برخي موارد سيستم به خوبي كار نكرده و كاربر مجبور ميشود آن را راه اندازي مجدد نمايد. همچنين حذف برنامه محافظ صفحه نمايش يا مبدل ويدئو نيز منجر به حذف اين جاسوس افزار نميگردد.
- 6