Рубрикатор |
Все новости | Новости отрасли |
OSX.Macontrol снова на сцене
19 июля 2012 |
Обнаружен новый вариант угрозы OSX.Macontrol. Это лишний раз подчеркивает неверность суждений об абсолютной безопасности платформы Mac OS, ведь количество атак на неё только увеличивается. Новый вирус способен удалять и запускать файлы, выключать компьютер и собирать информацию о пользователе.
По примерным оценкам экспертов доля Windows на рынке ОС США составляет 84,1%, а Macintosh удалось занять 14,8% и эта доля растет. Население США составляет на данный момент порядка 309 миллионов человек. Если предположить, что у каждого американца есть компьютер, получается, что около 43 миллионов пользователей становятся потенциальными жертвами.Становится все яснее, что теории о защищенности операционных систем, не являющихся Windows, не верны. С точки зрения создателя вредоносной программы, возможность использовать эксплойт для атаки на большее количество пользователей обеспечивает более широкое распространение кода в силу множества причин. Растущая популярность платформы Mac и менее зрелые системы защиты для Apple сделали данную ОС потенциальной мишенью для злоумышленников. Это привело к большему количеству атак на пользователей Mac, чем когда-либо ранее.
Недавно специалисты Symantec обнаружили новый вариант OSX.Macontrol, впервые выявленный в марте 2012 года. Этот образец передается через целевые рассылки. Бинарный файл [md5 - e88027e4bfc69b9d29caef6bae0238e8] отличается небольшим размером (75 Кб) и лишь немногим превосходит функциональность бэкдора для удаленного хоста (61.178.77.16x). Веб-сервер относится к категории HTTP-command-and-control, он собирает и модифицирует системные настройки жертв. В то же время протокол HTTP позволяет атакующему избежать обнаружения за счет использования команд, кажущихся чистым веб-трафиком.
OSX.Macontrol может:
- Закрыть соединение с удаленным хостом и прекратить действие угрозы;
- Собирать информацию со взломанного компьютера, пересылая ее на удаленный хост;
- Пересылать список процессов со взломанного ПК на удаленный сервер;
- Завершать процессы;
- Саботировать запуск процессов;
- Восстанавливать путь установки Трояна;
- Удалять файлы;
- Запускать файлы;
- Пересылать файлы на удаленный сервер;
- Передавать статус пользователя и информацию о нём на удаленный сервер;
- Завершать за пользователя его сеанс работы с системой;
- Переводить компьютер в режим сна;
- Перезагружать компьютер;
- Выключать компьютер.
Во время проведения исследования, специалисты Symantec заметили активность IP-адреса 61.178.77.16x, начавшуюся в феврале 2012 года, когда различные версии вредоносного ПО начали приходить с этого диапазона адресов. Согласно данным Symantec этот IP-адрес рассылает вредоносное ПО не только для Mac, но и для Windows.
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.