В работе новый троян использует утилиту (dropper), скачивающую вторую его часть (backdoor), которая затем подключается к удаленному серверу, управляющемуся атакующим, и получает оттуда дополнительные инструкции.
В связи с тем, что при внедрении троян не использует никакой уязвимости в Mac OS X – или любой другой программе – атакующему приходится обманом заставлять пользователей скачивать и запускать кажущийся документ PDF, который в действительности является исполняемым файлом.
Dropper, будучи запущенным, скачивает вторую часть трояна и открывает документ PDF на китайском языке. По словам F-Secure, данный PDF является еще одной уловкой, призванной не дать пользователю заметить постороннюю активность.
И Sophos и F-Secure пока отметили, что троян работает ненадежно. В настоящее время вредоносная программа не может подключиться к серверу контроля и управления (C&C), т.к. последний пока не полностью функционален.
Это обстоятельство, а также то, что образцы троянов были найдены на VirusTotal – бесплатном сервисе, проверяющем все файлы на наличие вирусов – позволило компании F-Secure предположить, что троян пока находится в стадии тестирования.
К слову, базовый антивирус Mac OS X пока не знает о существовании нового трояна, ведь он пока еще не обновлен. На нескольких проверенных нами компьютерах под управлением Lion последнее обновление антивируса выполнено 9-го августа. Впрочем, защитные программы для Mac предлагают также компании Sophos, F-Secure и Intego.
Комментарии (0)