Intego обнаружила опасный троян для Mac OS

image

Теги: Mac OS X, Intego, троян

Троянская программа Crisis может устанавливаться на систему при отсутствии привилегий администратора.

Эксперты антивирусной компании Intego обнаружили вирус для платформы Mac OS X , который создает на системе различные файлы в зависимости от того, был ли он загружен с привилегиями администратора. Установка вредоносной программы проходит незаметно и без взаимодействия с пользователем. Компонент бекдора обнаруженной экспертами версии вируса каждые 5 минут подключается к IP адресу 176.58.100.37 и запрашивает у него инструкции.

Троян, получивший название Crisis, вызвал к себе большое внимание тем, что может установиться на систему, используя права пользователя с низким уровнем привилегий. При отсутствии привилегий администратора он устанавливает компоненты, которые применяют системные вызовы низкого уровня, что позволяет ему замаскировать свое присутствие на компьютере.

Если модуль дроппера вируса запускается на системе с административными привилегиями, он сразу устанавливает руткит-компонент и обнаружить его также становиться очень трудно.

Всего вредоносная программа запускает 17 файлов при установке с административными правами и 14 файлов при наличии клиентских прав. Названия большинства файлов получают случайный набор символов. «Файл создается таким образом, чтобы при его анализе усложнить использование инструментов реверс инжиниринга», - говориться в уведомлении Intego.

Исследователи установили, что образец вируса уже несколько раз загружался на сайт VirusTotal, и большинство антивирусных компаний в скором времени должны добавить его в сигнатуры угроз.

Обнаруженная на сегодняшний день версия вируса работает только в OS X 10.6 Snow Leopard и OS X 10.7 Lion, и специалисты Intego не могут точно сказать, сможет ли вирус заразить OS X 10.8 Mountain Lion, который выходит сегодня. Эта угроза в очередной раз подчеркивает важность защиты платформ Apple с помощью современных решений информационной безопасности, а также надежной системы обновлений программного обеспечения.

Ознакомиться с уведомлением Intego можно здесь.