Поделиться
Новый OSX.Macontrol способен управлять «маками» и собирать данные о пользователе
Корпорация Symantec объявила об обнаружении нового варианта угрозы OSX.Macontrol, предназначенной для компьютеров под управлением ОС Mac OS X. Новый вирус способен удалять и запускать файлы, выключать компьютер и собирать информацию о пользователе.
Впервые зловред OSX.Macontrol был выявлен в марте 2012 г. Новый образец передается через целевые рассылки. Бинарный файл [md5 - e88027e4bfc69b9d29caef6bae0238e8] отличается небольшим размером (75 КБ) и лишь немногим превосходит функциональность бэкдора для удаленного хоста (61.178.77.16x). Веб-сервер относится к категории HTTP-command-and-control, он собирает и модифицирует системные настройки жертв. В то же время, протокол HTTP позволяет атакующему избежать обнаружения за счет использования команд, кажущихся чистым веб-трафиком, сообщили в Symantec.
В целом OSX.Macontrol способен: закрыть соединение с удаленным хостом и прекратить действие угрозы; собирать информацию со взломанного компьютера, пересылая ее на удаленный хост; пересылать список процессов со взломанного ПК на удаленный сервер; завершать процессы; саботировать запуск процессов; восстанавливать путь установки трояна; удалять файлы; запускать файлы; пересылать файлы на удаленный сервер; передавать статус пользователя и информацию о нём на удаленный сервер; завершать за пользователя его сеанс работы с системой; переводить компьютер в режим сна; перезагружать компьютер; выключать компьютер.
Во время проведения исследования, специалисты Symantec заметили активность IP-адреса 61.178.77.16x, начавшуюся в феврале 2012 г., когда различные версии вредоносного ПО начали приходить с этого диапазона адресов. Согласно данным Symantec, этот IP-адрес рассылает вредоносное ПО не только для Mac, но и для Windows.
После обращения компании Symantec компания Apple недавно обновила антивирусные базы OS X, чтобы обеспечить защиту от данной версии Macontrol.
Короткая ссылка
