Security Lab

Worm.OSX. Inqtana.a

Worm.OSX. Inqtana.a

Inqtana.a является червем для Mac OSX, распространяющимся посредством использования протокола Bluetooth при помощи отправки запроса на обмен данными Object Exchange (OBEX) Push на потенциальные машины-жертвы.

Inqtana.a является червем для Mac OSX, распространяющимся посредством использования протокола Bluetooth при помощи отправки запроса на обмен данными Object Exchange (OBEX) Push на потенциальные машины-жертвы. Если машина-жертва принимает запрос, червь пытается воспользоваться уязвимостью Bluetooth File and Object Exchange Directory Traversal с целью получения доступа к папкам за пределами корня папки Bluetooth File and Object Exchange.

С целью автоматического запуска при перезагрузке ОС червь выбрасывает из себя в папку LaunchAgents два файла: com.openbundle.plist и com.pwned.plist. Кроме того, в папку /Users/ выбрасывается файл w0rm-support.tgz.

После того как ОС была перезагружена, com.openbundle.plist распаковывает компоненты червя, а com.pwned.plist запускает основной бинарник червя.

Затем Inqtana пытается распространяться дальше путем сканирования окружающего пространства на наличие устройств с включенным Bluetooth. В случае обнаружения таких устройств и наличия в них поддержки запросов Object Exchange (OBEX) Push, червь рассылает себя на подобные устройства.

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!