ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Trojan-Downloader.OSX.Flashfake

Data de detecção 06/04/2012
Classe Trojan-Downloader
Plataforma OSX
Descrição

Detalhes técnicos

Uma família de malwares para o Mac OS X. As primeiras versões desse tipo de ameaça foram detectadas em setembro de 2011. Em março de 2012, mais de 600.000 computadores em todo o mundo foram infectados pelo Flashback. Os computadores infectados foram combinados em uma botnet que permitiu aos cibercriminosos instalarem módulos maliciosos adicionais à sua vontade. Sabe-se que um dos módulos gera resultados falsos nos mecanismos de pesquisa, exibindo resultados falsos para os usuários e gerando lucros para os cibercriminosos por meio da 'fraude de cliques'. É bem possível que, além de interceptar o tráfego do mecanismo de pesquisa, os cibercriminosos possam enviar outros módulos maliciosos para os computadores infectados – por exemplo, para roubo de dados ou distribuição de spam.

Um programa de Trojan que baixa outros programas maliciosos da Internet e os lança em uma máquina vítima sem o conhecimento do usuário. O programa é um aplicativo do Mac OS X (Mach-o). Tem entre 19.384 e 200.876 bytes de tamanho. Está escrito em C ++.

Carga útil

Uma vez lançado, o Trojan tenta carregar módulos maliciosos adicionais. A cada 24 horas, o Trojan tenta se conectar a 30 sites, gerando 5 nomes de domínio, enquanto outros 25 estão contidos no próprio corpo do programa malicioso. Um desses sites (escolhidos aleatoriamente) hospeda o servidor C & C da botnet, conforme implantado pelos cibercriminosos. Os domínios possuem nomes como:

jobijoolkfip4oasdkf.com
ithfmmcoo400dmsddditofdl.com
utu9nnmkrogjfldoritvz.com
999rjjfnvmvciwepoqwejdsadkf.com
ighrueokdhfcnnsjwwqqllxz.com
itgii5fmmjmsppperujvmsdkkff.com
jtierodoxzwerkolun.com
iruifjckdlfqwexzcnvdkffd.com
all-nightmexicansoftstore.com
callmetonight911.com
oversellingresourcestoday.com
fasttrackanddeliverytoyourdoors.com
trustedsoftappstore.com
fantastischappstore.com
megastoreappsstore.com
catholicappstorecloud.com
bestcatholicianappstoretoday.com
onlinesoftstoreofweekend.com
knockoutpricesappstoreeveryday.com
svupsvc.com
ajovgdekxrmw.com
ggatocowtonwpn.com
wxsrnrskapelhy.com
ouspjintgjsrw.com 

O Trojan salva os módulos baixados nas seguintes pastas de aplicativos:

/Aplicativos/Safari.app/
/Aplicativos/Firefox.app/
etc.

Os arquivos baixados podem ser criptografados com o UUID da máquina vítima. Se carregado com sucesso, o Trojan envia uma notificação para seus proprietários nos endereços:

http://adobesoftwareupdate.com/counter/
http://78.46.139.211/jcounter/    
etc.


Link para o original