DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Trojan-Downloader.OSX.Flashfake

Erkennungsdatum 06/04/2012
Kategorie Trojan-Downloader
Plattform OSX
Beschreibung

Technische Details

Eine Malware-Familie für Mac OS X. Die ersten Versionen dieser Art von Bedrohung wurden im September 2011 entdeckt. Im März 2012 wurden weltweit über 600.000 Computer von Flashback infiziert. Die infizierten Computer wurden in einem Botnetz zusammengefasst, das es Cyberkriminellen ermöglichte, nach Belieben zusätzliche bösartige Module zu installieren. Eines der Module ist dafür bekannt, falsche Suchmaschinenergebnisse zu generieren, die falsche Ergebnisse für Nutzer anzeigen und durch "Klickbetrug" Gewinne für Cyberkriminelle generieren. Es ist durchaus möglich, dass Cyberkriminelle nicht nur den Suchmaschinenverkehr abfangen, sondern auch andere bösartige Module auf infizierte Computer hochladen können – beispielsweise für Datendiebstahl oder Spam-Verbreitung.

Ein Trojaner-Programm, das andere schädliche Programme aus dem Internet herunterlädt und sie ohne Wissen des Benutzers auf einem Opfercomputer startet. Das Programm ist eine Mac OS X (Mach-o) -Anwendung. Es ist zwischen 19.384 und 200.876 Bytes groß. Es ist in C ++ geschrieben.

Nutzlast

Nach dem Start versucht der Trojaner, weitere schädliche Module hochzuladen. Alle 24 Stunden versucht der Trojaner, sich mit 30 Standorten zu verbinden, wobei 5 Domänennamen generiert werden, während weitere 25 im Schadcode selbst enthalten sind. Eine dieser zufällig ausgewählten Websites hostet den C & C-Server des Botnets, der von Cyberkriminellen eingesetzt wird. Die Domains haben Namen wie:

jobijoolkfip4oasdkf.com
ithfmmcoo400dmsddditofdl.com
utu9nnmkrogjfldoritvz.com
999rjjfnvmvciwepoqwejdsadkf.com
ighrueokdhfcnnsjwwqqllxz.com
itgii5fmmjmsppperujvmsdkkff.com
jtierodoxzwerkolun.com
iruifjckdlfqwexzcnvdkffd.com
all-nachtmexicansoftstore.com
callmetonight911.com
oversellingresourcestoday.com
fasttrackanddeliverytoyourdoors.com
trustedoftappstore.com
fantastischappstore.com
megastoreapps.com
catholicapstorecloud.com
bestcatholicianappstoretoday.com
onlinesoftstoreofweekend.com
knockoutpricesappstoreeveryday.com
svupsvc.com
ajovgdekxrmw.com
ggatocowtonwpn.com
wxsrnrskapelhy.com
ouspjintgjsrw.com 

Der Trojaner speichert die heruntergeladenen Module in den folgenden Anwendungsordnern:

/Applikationen/Safari.app/
/Anwendungen/Firefox.app/
etc.

Die heruntergeladenen Dateien können mit der UUID der Opfermaschine verschlüsselt werden. Wenn der Trojaner erfolgreich geladen wurde, sendet er eine Benachrichtigung an seine Besitzer:

http://adobesoftwareupdate.com/counter/
http://78.46.139.211/jcounter/    
etc.


Link zum Original