Your browser is obsolete!

The page may not load correctly.

Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Contact us
24/7 Tech support

Send a message

Call us

+7 (495) 789-45-86

Forum
Profile

Back to news

Specjaliści Doctor Web wykryli nowego backdoora dla komputerów Mac

12 maja 2017

Analitycy bezpieczeństwa Doctor Web wykryli i przebadali nowego trojana dla systemu macOS firmy Apple, który wykonuje polecenia wydawane przez cyberprzestępców.

Ten trojan typu backdoor został dodany do baz wirusów Dr.Web pod nazwą Mac.BackDoor.Systemd.1. Uruchomiony wyświetla na konsoli wiadomość zawierającą błąd w treści — “This file is corrupted and connot be opened” — i restartuje sam siebie jako demona o nazwie systemd. Dodatkowo Mac.BackDoor.Systemd.1 próbuje ukryć swój plik, oznaczając go odpowiednimi flagami. Następnie trojan tworzy plik z użyciem komend SH i pliku PLIST w celu zarejestrowania siebie w mechanizmie autorun.

Trojan przechowuje w swoim własnym pliku zaszyfrowaną informację. Ta informacja określa czy Mac.BackDoor.Systemd.1 samodzielnie zestawi połączenie z serwerem kontrolno-zarządzającym, lub czy zaczeka na przychodzące żądanie połączenia. Po podłączeniu backdoor wykonuje odbierane komendy i okresowo wysyła do cyberprzestępców następujące informacje:

  • Nazwa i wersja systemu operacyjnego;
  • Nazwa użytkownika;
  • Dostępność uprawnień root’a;
  • Adresy MAC wszystkich dostępnych interfejsów sieciowych;
  • Adresy IP wszystkich dostępnych interfejsów sieciowych;
  • Zewnętrzny adres IP;
  • Typ CPU;
  • Ilość pamięci RAM;
  • Dane o wersji malware i jego konfiguracji.

Trojan posiada swój własny menedżer plików, który pozwala cyberprzestępcom na wykonywanie na zainfekowanym komputerze różnych działań na plikach i folderach. Backdoor potrafi wykonywać następujące polecenia:

  • Odbierz listę zawartości określonego katalogu;
  • Odczytaj plik;
  • Zapisz do pliku;
  • Uzyskaj zawartość pliku;
  • Usuń plik lub folder;
  • Zmień nazwę pliku lub folderu;
  • Zmień uprawnienia dla pliku lub folderu (polecenie chmod);
  • Zmień posiadacza obiektu plikowego (polecenie chown);
  • Utwórz folder;
  • Wykonaj polecenie w powłoce bash;
  • Zaktualizuj trojana;
  • Ponownie zainstaluj trojana;
  • Zmień adres IP serwera kontrolno-zarządzającego;
  • Zainstaluj wtyczkę.

Mac.BackDoor.Systemd.1 jest z powodzeniem wykrywany i usuwany przez produkty Dr.Web dla komputerów Mac i, tym samym, nie stanowi on zagrożenia dla naszych użytkowników.

Więcej na temat tego trojana

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

The Russian developer of Dr.Web anti-viruses

Doctor Web has been developing anti-virus software since 1992

Dr.Web is trusted by users around the world in 200+ countries

The company has delivered an anti-virus as a service since 2007

24/7 tech support

© Doctor Web
2003 — 2017

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A