CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Trojan-Downloader.OSX.Flashfake

Date de la détection 06/04/2012
Classe Trojan-Downloader
Plateforme OSX
Description

Détails techniques

Une famille de logiciels malveillants pour Mac OS X. Les premières versions de ce type de menace ont été détectées en septembre 2011. En mars 2012, plus de 600 000 ordinateurs dans le monde ont été infectés par Flashback. Les ordinateurs infectés ont été combinés dans un botnet qui a permis aux cybercriminels d'installer des modules malveillants supplémentaires sur eux à volonté. L'un des modules est connu pour générer de faux résultats dans les moteurs de recherche, affichant de faux résultats pour les utilisateurs et générant des profits pour les cybercriminels via la «fraude au clic». Il est tout à fait possible qu'en plus d'intercepter le trafic des moteurs de recherche, les cybercriminels puissent télécharger d'autres modules malveillants sur des ordinateurs infectés, par exemple pour le vol de données ou la distribution de spam.

Un cheval de Troie qui télécharge d'autres programmes malveillants à partir d'Internet et les lance sur une machine victime à l'insu de l'utilisateur. Le programme est une application Mac OS X (Mach-o). Il est compris entre 19 384 et 200 876 octets. Il est écrit en C ++.

Charge utile

Une fois lancé, le cheval de Troie tente de télécharger des modules malveillants supplémentaires. Toutes les 24 heures, le cheval de Troie essaie de se connecter à 30 sites, générant 5 noms de domaine, tandis que 25 autres sont contenus dans le corps du programme malveillant lui-même. L'un de ces sites (choisi au hasard) héberge le serveur C & C du botnet tel qu'il est déployé par les cybercriminels. Les domaines ont des noms tels que:

jobijoolkfip4oasdkf.com
ithfmmcoo400dmsddditofdl.com
utu9nnmkrogjfldoritvz.com
999rjjfnvmvciwepoqwejdsadkf.com
ighrueokdhfcnnsjwwqqllxz.com
itgii5fmmjmsppperujvmsdkkff.com
jtierodoxzwerkolun.com
iruifjckdlfqwexzcnvdkffd.com
all-nightmexicansoftstore.com
callmetonight911.com
oversellingresourcestoday.com
fasttrackanddeliverytoyourdoors.com
trustedsoftappstore.com
fantastischappstore.com
megastoreappsstore.com
catholicappstorecloud.com
bestcatholicianappstoretoday.com
onlinesoftstoreofweekend.com
knockoutpricesappstoreeveryday.com
svupsvc.com
ajovgdekxrmw.com
ggatocowtonwpn.com
wxsrnrskapelhy.com
ouspjintgjsrw.com 

Le cheval de Troie enregistre les modules téléchargés dans les dossiers d'application suivants:

/Applications/Safari.app/
/Applications/Firefox.app/
etc.

Les fichiers téléchargés peuvent être cryptés avec l'UUID de la machine victime. S'il est chargé avec succès, le cheval de Troie envoie une notification à ses propriétaires aux adresses suivantes:

http://adobesoftwareupdate.com/counter/
http://78.46.139.211/jcounter/    
etc.


Lien vers l'original