Trojan-Downloader.OSX.Flashfake

Родительский класс: TrojWare

Вредоносные программы, которые осуществляют несанкционированные пользователем действия: уничтожают, блокируют, модифицируют или копируют информацию, нарушают работу компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители этой категории не умеют создавать свои копии, не способны к самовоспроизведению.

Класс: Trojan-Downloader

Предназначены для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо включаются в список программ, запускаемых при старте операционной системы. Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с управляющего интернет-ресурса (обычно с веб-страницы). Данный тип вредоносных программ в последнее время стал часто использоваться для первоначального заражения посетителей зараженных web-страниц, содержащих эксплойты.

Подробнее

Платформа: OSX

No platform description

Описание

Technical Details

Семейство вредоносных программ для Mac OSX. Первые варианты этих угроз были обнаружены в сентябре 2011 года. В марте 2012 Flashback заразил более 600 000 компьютеров по всему миру. Зараженные компьютеры объединены в ботнет, и злоумышленники могут устанавливать на них любые дополнительные вредоносные модули. Известно, что один из модулей занимается подменой поискового трафика, показывая пользователю ложные результаты при использовании поисковых систем. Таким образом, злоумышленники зарабатывают деньги на кликах. Не исключено, что, помимо перехвата поискового трафика, преступники могут загружать на зараженные компьютеры и другие вредоносные модули – например, для кражи данных или рассылки спама.

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Программа является приложением для MAC OS X (Mach-o). Имеет размер от 19384 до 200876 байт. Написана на языке программирования С++.

Payload

При запуске троянец пытается загрузить дополнительные вредоносные модули. Троянец ежедневно генерирует 5 доменных имён, еще 25 зашиты в «теле» вредоносной программы. Ежедневно троянец пытается подключиться к 30 сайтам, на одном из которых (произвольно выбранном) злоумышленники устанавливают сервер управления ботнетом.

Имена доменов имеют вид:

jobijoolkfip4oasdkf.com
ithfmmcoo400dmsddditofdl.com
utu9nnmkrogjfldoritvz.com
999rjjfnvmvciwepoqwejdsadkf.com
ighrueokdhfcnnsjwwqqllxz.com
itgii5fmmjmsppperujvmsdkkff.com
jtierodoxzwerkolun.com
iruifjckdlfqwexzcnvdkffd.com
all-nightmexicansoftstore.com
callmetonight911.com
oversellingresourcestoday.com
fasttrackanddeliverytoyourdoors.com
trustedsoftappstore.com
fantastischappstore.com
megastoreappsstore.com
catholicappstorecloud.com
bestcatholicianappstoretoday.com
onlinesoftstoreofweekend.com
knockoutpricesappstoreeveryday.com
svupsvc.com
ajovgdekxrmw.com
ggatocowtonwpn.com
wxsrnrskapelhy.com
ouspjintgjsrw.com 

Троянец сохраняет загруженные модули в папки приложений:

/Applications/Safari.app/
/Applications/Firefox.app/

И т.д. Загружаемые файлы могут быть зашифрованы на уникальном идентификаторе компьютера жертвы.

При успешной загрузке троянец посылает уведомление злоумышленникам на адреса вида:

http://adobesoftwareupdate.com/counter/
http://78.46.139.211/jcounter/    

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com