یك تروجان جدید Mac OS X به نام OSX/Crisis بی سر و صدا در حال آسیب رساندن به سیستمهای OS X 10.6 Snow Leopard و OS X 10.7 Lion می باشد.
یك تروجان جدید Mac OS X كشف شده است كه بر اساس اینكه بر روی حساب كاربری با مجوزهای Admin اجرا می*شود یا خیر، اجزای مختلفی را بر روی سیستم قربانی نصب می*كند. این تهدید خود را بدون سر و صدا نصب می*نماید و برای ضربه زدن به سیستم Mac، نیازی به كلمه عبور كاربر ندارد. جزء راه نفوذ مخفی این بدافزار هر پنج دقیقه یكبار با آدرس آی پی 176.58.100.37 تماس برقرار كرده و منتظر دستورات می*ماند.
شركت امنیتی Intego كه پس از كشف این بدافزار امضاهای ضد*بدافزار خود را به روز كرده است، آن را OSX/Crisis نامیده است.
این تروجان مثل اغلب تروجان*های دیگر زمانی كه اجرا می*گردد، بی سر و صدا یك راه نفوذ مخفی نصب می*كند. اما چیزی كه نگران كننده است این است كه OSX/Crisis بر اساس اینكه حساب كاربر دارای مجوزهای Admin باشد یا خیر، اجزای مختلفی را بر روی سیستم قربانی نصب می*نماید كه از آنها برای پنهان كردن فعالیت*های خود استفاده می*كند. البته این تروجان همیشه تعدادی فایل و فولدر برای انجام كار خود ایجاد می*نماید.
اگر این بدافزار بر روی سیستمی با مجوزهای Admin اجرا گردد، برای پنهان كردن خود یك rootkit بر روی سیستم قرار می*دهد. این بدافزار زمانی كه با مجوز Admin اجر می*شود، 17 فایل ایجاد می*كند و زمانی كه بدون مجوز Admin اجرا می*گردد، 14 فایل. بسیاری از این فایل*ها به طور تصادفی نامگذاری می*شوند، ولی برخی فایل*ها نیز دارای نام*های ثابت هستند. به هر حال این فولدر تحت هر شرایطی ایجاد می*گردد:
/Library/ScriptingAdditions/appleHID/
اما در صورت داشتن مجوز Admin، فولدر زیر نیز ایجاد می*شود:
/System/Library/Frameworks/Foundation.framework/XPCServices/
به گفته یك سخنگوی Intego، این فایل به روشی ایجاد می*شود كه استفاده از ابزارهای مهندسی معكوس در هنگام تحلیل فایل را مشكل می*سازد. این نوع تكنیك ضد تحلیل در بدافزارهای ویندوز معمول است، ولی در مورد بدافزارهای OS X روشی غیر معمول به حساب می آید.
این بدافزار خاص صرفا سیستم*های OS X 10.6 Snow Leopard و OS X 10.7 Lion را تحت تاثیر قرار می*دهد.
منبع: مرکز ماهر
"...Before You start Pointing Fingers Make Sure Your Hands Are Clean"