Clase de padre: TrojWare
Los troyanos son programas maliciosos que realizan acciones que no están autorizadas por el usuario: borran, bloquean, modifican o copian datos e interrumpen el rendimiento de las computadoras o las redes de computadoras. A diferencia de los virus y las lombrices, las amenazas que entran en esta categoría no pueden hacer copias de sí mismas ni autorreplicarse. Los troyanos se clasifican de acuerdo con el tipo de acción que realizan en una computadora infectada.Clase: Trojan-Downloader
Los programas clasificados como Trojan-Downloader descargan e instalan nuevas versiones de programas maliciosos, incluidos troyanos y AdWare, en las computadoras de las víctimas. Una vez descargados de Internet, los programas se inician o se incluyen en una lista de programas que se ejecutarán automáticamente cuando se inicie el sistema operativo. La información sobre los nombres y las ubicaciones de los programas que se descargan se encuentran en el código troyano, o se descargan del troyano desde un recurso de Internet (generalmente una página web). Este tipo de programa malicioso se utiliza con frecuencia en la infección inicial de visitantes de sitios web que contienen exploits.Más información
Plataforma: OSX
No platform descriptionDescripción
Detalles técnicos
Una familia de malware para Mac OS X. Las primeras versiones de este tipo de amenazas se detectaron en septiembre de 2011. En marzo de 2012, Flashback infectó más de 600 000 computadoras en todo el mundo. Las computadoras infectadas se combinaron en una botnet que permitía a los cibercriminales instalar módulos maliciosos adicionales a voluntad. Se sabe que uno de los módulos genera resultados falsos en los motores de búsqueda, ya que muestra resultados falsos para los usuarios y genera beneficios para los ciberdelincuentes a través del "fraude por clic". Es muy posible que, además de interceptar el tráfico del motor de búsqueda, los ciberdelincuentes puedan cargar otros módulos maliciosos a las computadoras infectadas, por ejemplo, para el robo de datos o la distribución de spam.
Un programa troyano que descarga otros programas maliciosos de Internet y los lanza en una máquina víctima sin que el usuario lo sepa. El programa es una aplicación Mac OS X (Mach-o). Tiene un tamaño entre 19,384 y 200,876 bytes. Está escrito en C ++.
Carga útil
Una vez lanzado, el troyano intenta cargar módulos maliciosos adicionales. Cada 24 horas, el troyano intenta conectarse a 30 sitios, generando 5 nombres de dominio, mientras que otros 25 están contenidos en el cuerpo del programa malicioso. Uno de esos sitios (elegido al azar) alberga el servidor C & C de la botnet desplegado por los ciberdelincuentes. Los dominios tienen nombres como:
jobijoolkfip4oasdkf.comithfmmcoo400dmsddditofdl.comutu9nnmkrogjfldoritvz.com999rjjfnvmvciwepoqwejdsadkf.comighrueokdhfcnnsjwwqqllxz.comitgii5fmmjmsppperujvmsdkkff.comjtierodoxzwerkolun.comiruifjckdlfqwexzcnvdkffd.comall-nightmexicansoftstore.comcallmetonight911.comoversellingresourcestoday.comfasttrackanddeliverytoyourdoors.comtrustedsoftappstore.comfantastischappstore.commegastoreappsstore.comcatholicappstorecloud.combestcatholicianappstoretoday.comonlinesoftstoreofweekend.comknockoutpricesappstoreeveryday.comsvupsvc.comajovgdekxrmw.comggatocowtonwpn.comwxsrnrskapelhy.comouspjintgjsrw.comEl troyano guarda los módulos descargados en las siguientes carpetas de aplicaciones:
/Aplicaciones/Safari.app//Aplicaciones/Firefox.app/etc.Los archivos descargados se pueden cifrar con el UUID de la máquina víctima. Si se carga con éxito, el troyano envía una notificación a sus propietarios en las direcciones:
http://adobesoftwareupdate.com/counter/http://78.46.139.211/jcounter/ etc.
Leer más
Conozca las estadísticas de las vulnerabilidades que se propagan en su región statistics.securelist.com