RSS-каналы
Уровень опасности: 1
Trojan-Downloader.OSX.Flashfake
| Описание опубликовано | 09 апр 2012 18:41 MSK |
Деструктивная активность
Технические детали
Семейство вредоносных программ для Mac OSX. Первые варианты этих угроз были обнаружены в сентябре 2011 года. В марте 2012 Flashback заразил более 600 000 компьютеров по всему миру. Зараженные компьютеры объединены в ботнет, и злоумышленники могут устанавливать на них любые дополнительные вредоносные модули. Известно, что один из модулей занимается подменой поискового трафика, показывая пользователю ложные результаты при использовании поисковых систем. Таким образом, злоумышленники зарабатывают деньги на кликах. Не исключено, что, помимо перехвата поискового трафика, преступники могут загружать на зараженные компьютеры и другие вредоносные модули – например, для кражи данных или рассылки спама.
Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Программа является приложением для MAC OS X (Mach-o). Имеет размер от 19384 до 200876 байт. Написана на языке программирования С++.
Деструктивная активность
При запуске троянец пытается загрузить дополнительные вредоносные модули. Троянец ежедневно генерирует 5 доменных имён, еще 25 зашиты в «теле» вредоносной программы. Ежедневно троянец пытается подключиться к 30 сайтам, на одном из которых (произвольно выбранном) злоумышленники устанавливают сервер управления ботнетом.
Имена доменов имеют вид:
jobijoolkfip4oasdkf.com ithfmmcoo400dmsddditofdl.com utu9nnmkrogjfldoritvz.com 999rjjfnvmvciwepoqwejdsadkf.com ighrueokdhfcnnsjwwqqllxz.com itgii5fmmjmsppperujvmsdkkff.com jtierodoxzwerkolun.com iruifjckdlfqwexzcnvdkffd.com all-nightmexicansoftstore.com callmetonight911.com oversellingresourcestoday.com fasttrackanddeliverytoyourdoors.com trustedsoftappstore.com fantastischappstore.com megastoreappsstore.com catholicappstorecloud.com bestcatholicianappstoretoday.com onlinesoftstoreofweekend.com knockoutpricesappstoreeveryday.com svupsvc.com ajovgdekxrmw.com ggatocowtonwpn.com wxsrnrskapelhy.com ouspjintgjsrw.comТроянец сохраняет загруженные модули в папки приложений:
/Applications/Safari.app/ /Applications/Firefox.app/И т.д. Загружаемые файлы могут быть зашифрованы на уникальном идентификаторе компьютера жертвы.
При успешной загрузке троянец посылает уведомление злоумышленникам на адреса вида:
http://adobesoftwareupdate.com/counter/ http://78.46.139.211/jcounter/
Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).
Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей заражённых веб-страниц, содержащих эксплойты.
© ЗАО «Лаборатория Касперского», 1997-2013
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей.
Мнение авторов может не совпадать с официальной позицией «Лаборатории Касперского».