Το κακόβουλο λογισμικό εγκαθίσταται χωρίς την παρέμβαση του χρήστη και δεν χρειάζεται ούτε τον κωδικό χρήστη για να μολύνει τον υπολογιστή.
Η νέα απειλή προσβάλλει μόνο τις δύο τελευταίες εκδόσεις του Mac OS X – Snow Leopard και Lion.
Το Trojan διατηρείται και μετά την επανεκκίνηση του συστήματος, οπότε θα συνεχίσει την λειτουργία του έως ότου αφαιρεθεί. Ανάλογα με το αν τρέχει σε έναν λογαριασμό χρήστη με δικαιώματα διαχειριστή, θα εγκαταστήσει διάφορα στοιχεία.
Αν τοTrojan εγκατασταθεί σε ένα σύστημα με δικαιώματα διαχειριστή, θα κάνει χρήση ενός rootkit για να κρυφτεί. Σε κάθε περίπτωση, δημιουργεί μια σειρά από αρχεία και φακέλους για να ολοκληρώσει τις διεργασίες του. Όταν τρέχει με δικαιώματα χρήστη, δημιουργεί 17 αρχεία, ενώ όταν τρέχει χωρίς τα δικαιώματα, δημιουργεί 14 αρχεία. Ορισμένα από αυτά παίρνουν τυχαίες ονομασίες, αλλά υπάρχουν και μερικά που είναι σταθερά.
Με ή χωρίς δικαιώματα χρήστη, αυτός ο φάκελος δημιουργείται: /Library/ScriptingAdditions/appleHID/
Μόνο με δικαιώματα διαχειριστή, δημιουργείται αυτός ο φάκελος: /System/Library/Frameworks/Foundation.framework/XPCServices/
Μόλις εγκατασταθεί, το OS/X Crisis καλεί την διεύθυνση ΙΡ 176.58.100.37 κάθε πέντε λεπτά, προφανώς επειδή περιμένει εντολές.
Τώρα γίνεται ακόμα πιο ενδιαφέρον. Εκπρόσωπος της Intego αναφέρει:“Το αρχείο δημιουργείται με τέτοιον τρόπο ώστε να κάνει πιο δύσκολη την ανάλυση του αρχείου μέσω εργαλείων αντίστροφης μηχανικής. Αυτή η τεχνική αντίστροφης ανάλυσης είναι συχνό φαινόμενο σε Windows malware, αλλά είναι ασυνήθιστο για OSX malware. ”
Διαβάστε περισσότερα στο Secnews.gr
