Classe principal: TrojWare
Os cavalos de Tróia são programas mal-intencionados que executam ações que não são autorizadas pelo usuário: eles excluem, bloqueiam, modificam ou copiam dados e interrompem o desempenho de computadores ou redes de computadores. Ao contrário dos vírus e worms, as ameaças que se enquadram nessa categoria não conseguem fazer cópias de si mesmas ou se auto-replicar. Os cavalos de Tróia são classificados de acordo com o tipo de ação que executam em um computador infectado.Classe: Trojan-Downloader
Programas classificados como Trojan-Downloader baixam e instalam novas versões de programas mal-intencionados, incluindo Trojans e AdWare, em computadores vitimados. Uma vez baixados da Internet, os programas são iniciados ou incluídos em uma lista de programas que serão executados automaticamente quando o sistema operacional for inicializado. As informações sobre os nomes e locais dos programas baixados estão no código do Trojan ou são baixadas pelo cavalo de Tróia a partir de um recurso da Internet (geralmente uma página da Web). Esse tipo de programa malicioso é freqüentemente usado na infecção inicial de visitantes de sites que contêm exploits.Plataforma: OSX
No platform descriptionDescrição
Detalhes técnicos
Uma família de malwares para o Mac OS X. As primeiras versões desse tipo de ameaça foram detectadas em setembro de 2011. Em março de 2012, mais de 600.000 computadores em todo o mundo foram infectados pelo Flashback. Os computadores infectados foram combinados em uma botnet que permitiu aos cibercriminosos instalarem módulos maliciosos adicionais à sua vontade. Sabe-se que um dos módulos gera resultados falsos nos mecanismos de pesquisa, exibindo resultados falsos para os usuários e gerando lucros para os cibercriminosos por meio da 'fraude de cliques'. É bem possível que, além de interceptar o tráfego do mecanismo de pesquisa, os cibercriminosos possam enviar outros módulos maliciosos para os computadores infectados - por exemplo, para roubo de dados ou distribuição de spam.
Um programa de Trojan que baixa outros programas maliciosos da Internet e os lança em uma máquina vítima sem o conhecimento do usuário. O programa é um aplicativo do Mac OS X (Mach-o). Tem entre 19.384 e 200.876 bytes de tamanho. Está escrito em C ++.
Carga útil
Uma vez lançado, o Trojan tenta carregar módulos maliciosos adicionais. A cada 24 horas, o Trojan tenta se conectar a 30 sites, gerando 5 nomes de domínio, enquanto outros 25 estão contidos no próprio corpo do programa malicioso. Um desses sites (escolhidos aleatoriamente) hospeda o servidor C & C da botnet, conforme implantado pelos cibercriminosos. Os domínios possuem nomes como:
jobijoolkfip4oasdkf.comithfmmcoo400dmsddditofdl.comutu9nnmkrogjfldoritvz.com999rjjfnvmvciwepoqwejdsadkf.comighrueokdhfcnnsjwwqqllxz.comitgii5fmmjmsppperujvmsdkkff.comjtierodoxzwerkolun.comiruifjckdlfqwexzcnvdkffd.comall-nightmexicansoftstore.comcallmetonight911.comoversellingresourcestoday.comfasttrackanddeliverytoyourdoors.comtrustedsoftappstore.comfantastischappstore.commegastoreappsstore.comcatholicappstorecloud.combestcatholicianappstoretoday.comonlinesoftstoreofweekend.comknockoutpricesappstoreeveryday.comsvupsvc.comajovgdekxrmw.comggatocowtonwpn.comwxsrnrskapelhy.comouspjintgjsrw.comO Trojan salva os módulos baixados nas seguintes pastas de aplicativos:
/Aplicativos/Safari.app//Aplicativos/Firefox.app/etc.Os arquivos baixados podem ser criptografados com o UUID da máquina vítima. Se carregado com sucesso, o Trojan envia uma notificação para seus proprietários nos endereços:
http://adobesoftwareupdate.com/counter/http://78.46.139.211/jcounter/ etc.
Saiba mais
Descubra as estatísticas das vulnerabilidades que se espalham em sua região statistics.securelist.com