Trojan-Downloader.OSX.Flashfake
Семейство вредоносных программ для Mac OSX. Первые варианты этих угроз были обнаружены в сентябре 2011 года.
Технические детали
Семейство вредоносных программ для Mac OSX. Первые варианты этих угроз были обнаружены в сентябре 2011 года. В марте 2012 Flashback заразил более 600 000 компьютеров по всему миру. Зараженные компьютеры объединены в ботнет, и злоумышленники могут устанавливать на них любые дополнительные вредоносные модули. Известно, что один из модулей занимается подменой поискового трафика, показывая пользователю ложные результаты при использовании поисковых систем. Таким образом, злоумышленники зарабатывают деньги на кликах. Не исключено, что, помимо перехвата поискового трафика, преступники могут загружать на зараженные компьютеры и другие вредоносные модули – например, для кражи данных или рассылки спама.
Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Программа является приложением для MAC OS X (Mach-o). Имеет размер от 19384 до 200876 байт. Написана на языке программирования С++.
Деструктивная активность
При запуске троянец пытается загрузить дополнительные вредоносные модули. Троянец ежедневно генерирует 5 доменных имён, еще 25 зашиты в «теле» вредоносной программы. Ежедневно троянец пытается подключиться к 30 сайтам, на одном из которых (произвольно выбранном) злоумышленники устанавливают сервер управления ботнетом.
Имена доменов имеют вид:
jobijoolkfip4oasdkf.com ithfmmcoo400dmsddditofdl.com utu9nnmkrogjfldoritvz.com 999rjjfnvmvciwepoqwejdsadkf.com ighrueokdhfcnnsjwwqqllxz.com itgii5fmmjmsppperujvmsdkkff.com jtierodoxzwerkolun.com iruifjckdlfqwexzcnvdkffd.com all-nightmexicansoftstore.com callmetonight911.com oversellingresourcestoday.com fasttrackanddeliverytoyourdoors.com trustedsoftappstore.com fantastischappstore.com megastoreappsstore.com catholicappstorecloud.com bestcatholicianappstoretoday.com onlinesoftstoreofweekend.com knockoutpricesappstoreeveryday.com svupsvc.com ajovgdekxrmw.com ggatocowtonwpn.com wxsrnrskapelhy.com ouspjintgjsrw.comТроянец сохраняет загруженные модули в папки приложений:
/Applications/Safari.app/ /Applications/Firefox.app/И т.д. Загружаемые файлы могут быть зашифрованы на уникальном идентификаторе компьютера жертвы.
При успешной загрузке троянец посылает уведомление злоумышленникам на адреса вида:
http://adobesoftwareupdate.com/counter/ http://78.46.139.211/jcounter/