Symantec: обнаружен новый вирус, угрожающий компьютерам на базе Mac OS

Компания Symantec объявила об обнаружении нового вируса OSX.Macontrol, что лишний раз подчёркивает ошибочность суждений об абсолютной безопасности платформы Mac OS. Новый вирус способен удалять и запускать файлы, выключать компьютер и даже собирать информацию о пользователе.

Эксперты сообщают, что доля Windows на рынке операционных систем США составляет 84,1%, а доля Macintosh - 14,8%, и это число увеличивается. Таким образом, растёт количество потенциальных жертв вредоносной программы.

Возможность использовать эксплойт для атаки на компьютеры пользователей обеспечивает более широкое распространение кода в силу нескольких причин. Так, например, растущая популярность платформы Mac и менее зрелые системы защиты устройств Apple сделали данную операционную систему потенциальной мишенью для злоумышленников. Это привело к большему количеству атак на пользователей Mac.

Специалисты Symantec обнаружили новый вариант OSX.Macontrol, впервые выявленный в марте 2012 года. Этот образец передается через целевые рассылки. Бинарный файл [md5 - e88027e4bfc69b9d29caef6bae0238e8] имеет небольшой размер (75 Кб) и немногим превосходит функциональность бэкдора для удаленного хоста (61.178.77.16x). Веб-сервер относится к категории HTTP-command-and-control, он собирает и модифицирует системные настройки жертв. В то же время протокол HTTP позволяет вирусу избежать обнаружения за счет использования команд, которые воспринимаются как чистый веб-трафик.

OSX.Macontrol может:
- закрыть соединение с удаленным хостом и прекратить действие угрозы;
- собирать информацию со взломанного компьютера, пересылая ее на удаленный хост;
- пересылать список процессов со взломанного ПК на удаленный сервер;
- завершать процессы;
- саботировать запуск процессов;
- восстанавливать путь установки Трояна;
- удалять файлы;
- запускать файлы;
- пересылать файлы на удаленный сервер;
- передавать статус пользователя и информацию о нём на удаленный сервер;
- завершать за пользователя его сеанс работы с системой;
- переводить компьютер в режим сна;
- перезагружать компьютер;
- выключать компьютер.

Вирус также может открывать следующую оболочку:

s_1


Чтобы установить связь, вирус посылает зашифрованный запрос GET:
/h.gif?pid =113&v=130586214568 HTTP/1.
Accept-Language: en-us
Pragma: no-cache
User-Agent: Mozilla/4.0(compatible; MSIE 6.0; Windows NT 5.1)
Connection: Keep-Alive

s_2

Различные вызовы используются для получения данных о заражённых системах


Во время проведения исследования специалисты Symantec заметили активность IP-адреса 61.178.77.16x, которая началась ещё в феврале 2012 года, когда различные версии вредоносного ПО начали приходить с этого диапазона адресов. Согласно данным Symantec, этот IP-адрес рассылает вредоносное ПО не только для компьютеров на платформе Mac, но и для Windows-устройств.

Чтобы гарантировать защищённость вашего ПК, убедитесь в обновлении антивирусных баз. Также не стоит загружать или открывать вложения от неизвестных отправителей. По просьбе компании Symantec компания Apple недавно обновила антивирусные базы OS X, чтобы обеспечить защиту от данной версии вируса Macontrol.

©  Tom's Hardware