en

‫ تروجاني كه كاربران Mac را هدف گرفته است

شماره: IRCNE2012031437
تاريخ: 27/12/90
محققان امنيتي شركت Intego يك نمونه جديد از تروجان Imuler را كشف كرده اند كه كاربران Mac OS X را هدف قرار داده است.
اين نسخه اخير تروجان Imuler.C سعي مي­كند كاربران را با اين تصور كه در حال دانلود و سپس مشاهده فايل­هاي تصويري هستند، فريب دهد. اين تروجان با استفاده از فايل­هاي آرشيوي zip با نام­هاي Pictures and the Ariticle of Renzin Dorjee.zip و FHM Feb Cover Girl Irina Shayk H-Res Pics.zip منتشر مي­گردد.
به گفته محققان، نويسندگان اين بدافزار با تكيه بر يك تاكتيك شناخته شده مهندسي اجتماعي و تنظيمات پيش فرض Mac OS X كار مي­كنند كه در آن پسوند كامل فايل به طور پيش فرض نمايش داده نمي­شود، چرا كه از آيكون­هاي تصويري براي فايل­ها استفاده مي­گردد.
زماني كه اين بدافزار اجرا مي­شود، كارهاي زير را انجام مي­دهد:
اين بدافزار يك در پشتي را به همراه ساير فايل­ها در /tmp/.mdworker نصب مي­نمايد. سپس يك پروسه به نام .mdworker آغاز مي­گردد، اين پروسه توسط Spotlight براي فهرست كردن فايل­ها مورد استفاده قرار مي­گيرد. يك فايل launchagent نيز به همراه يك فايل اجرايي در ~/library/LaunchAgents/chechvir.plist نصب مي­شود كه اطمينان ايجاد مي­كند كه زماني كه كاربر به سيستم خود وارد مي­شود يا آن را راه اندازي مي­نمايد، بدافزار اجرا مي­گردد. پس از يك راه اندازي مجدد، پروسه .mdworker حذف مي­گردد و فايل اجراي checkvir آغاز مي­شود. اين بدافزار داده هاي كاربر را جستجو مي­كند و سعي مي­كند آن را بر روي يك سرور بارگذاري نمايد. اين بدافزار همچنين تصوير صفحه نمايش كاربر را ضبط كرده و براي سرور ارسال مي­نمايد. اين بدافزار يك شناسه يكتا براي يك سيستم Mac توليد مي­كند تا بين اين سيستم و داده هاي جمع آوري شده، ارتباط برقرار نمايد. مشاهده شده است كه اين بدافزار فعال بوده و با اتصال به يك سرور راه دور، فايل­هاي اجرايي جديد را دانلود مي­كند.
به كاربران توصيه شده است كه ويژگي نمايش پسوند فايل را فعال نمايند تا تفاوت بين فايل­هاي تصويري واقعي و فايل­هاي اجرايي (مانند تروجان Imuler.C) را مشاهده نمايند. همچنين كاربران بايد فايل­هاي مشكوك را به سرويس VirusTotal معرفي كنند تا اطمينان حاصل نمايند كه گرفتار بدافزار نشده اند.

The Wall

No comments
You need to sign in to comment