Trojan-Downloader.OSX.Flashfake

Семейство вредоносных программ для Mac OSX. Первые варианты этих угроз были обнаружены в сентябре 2011 года.

Технические детали

Семейство вредоносных программ для Mac OSX. Первые варианты этих угроз были обнаружены в сентябре 2011 года. В марте 2012 Flashback заразил более 600 000 компьютеров по всему миру. Зараженные компьютеры объединены в ботнет, и злоумышленники могут устанавливать на них любые дополнительные вредоносные модули. Известно, что один из модулей занимается подменой поискового трафика, показывая пользователю ложные результаты при использовании поисковых систем. Таким образом, злоумышленники зарабатывают деньги на кликах. Не исключено, что, помимо перехвата поискового трафика, преступники могут загружать на зараженные компьютеры и другие вредоносные модули – например, для кражи данных или рассылки спама.

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Программа является приложением для MAC OS X (Mach-o). Имеет размер от 19384 до 200876 байт. Написана на языке программирования С++.


Деструктивная активность

При запуске троянец пытается загрузить дополнительные вредоносные модули. Троянец ежедневно генерирует 5 доменных имён, еще 25 зашиты в «теле» вредоносной программы. Ежедневно троянец пытается подключиться к 30 сайтам, на одном из которых (произвольно выбранном) злоумышленники устанавливают сервер управления ботнетом.

Имена доменов имеют вид:

jobijoolkfip4oasdkf.com  ithfmmcoo400dmsddditofdl.com  utu9nnmkrogjfldoritvz.com  999rjjfnvmvciwepoqwejdsadkf.com  ighrueokdhfcnnsjwwqqllxz.com  itgii5fmmjmsppperujvmsdkkff.com  jtierodoxzwerkolun.com  iruifjckdlfqwexzcnvdkffd.com  all-nightmexicansoftstore.com  callmetonight911.com  oversellingresourcestoday.com  fasttrackanddeliverytoyourdoors.com  trustedsoftappstore.com  fantastischappstore.com  megastoreappsstore.com  catholicappstorecloud.com  bestcatholicianappstoretoday.com  onlinesoftstoreofweekend.com  knockoutpricesappstoreeveryday.com  svupsvc.com  ajovgdekxrmw.com  ggatocowtonwpn.com  wxsrnrskapelhy.com  ouspjintgjsrw.com   
Троянец сохраняет загруженные модули в папки приложений:
/Applications/Safari.app/  /Applications/Firefox.app/  
И т.д. Загружаемые файлы могут быть зашифрованы на уникальном идентификаторе компьютера жертвы.

При успешной загрузке троянец посылает уведомление злоумышленникам на адреса вида:

http://adobesoftwareupdate.com/counter/  http://78.46.139.211/jcounter/