| 23 янв 2009 — 9:15 утра по тихоокеанскому времени
Компания Intego сегодня сообщила об обнаружении очередного трояна, который широко распространяется через Mac BitTorrent. На прошлой неделе это был торрент iWork. На этот раз он обнаружен в «Adobe CS4 Serial Cracker» (не в самом образе установочного диска). Если вы не скачиваете программы через торренты, то вам не о чем беспокоиться. От Intego:
Эксплойт: OSX.Trojan.iServices.B Trojan Horse
Обнаружено: 25 января 2009 г.
Риск: Серьезный
Описание: Intego обнаружила новую разновидность троянской программы iServices, которую компания обнаружила 22 января 2009 г. Этот новый троян, OSX.Trojan.iServices.B, как и предыдущая версия, находится в пиратском программном обеспечении, распространяемом через BitTorrent-трекеры и другие сайты, содержащие ссылки на пиратское ПО. Троянская программа OSX.Trojan.iServices.B распространяется вместе с копиями Adobe Photoshop CS4 для Mac. Сам установщик Photoshop чист, но троян находится в крэк-приложении, которое сериализует программу.
После загрузки этой версии Photoshop пользователи запускают крэк-приложение, чтобы получить возможность ее использования. Крэк-приложение извлекает исполняемый файл из своих данных, затем устанавливает бэкдор в директории /var/tmp/, которая не удаляется при перезагрузке компьютера. (Если пользователь снова запускает крэк-приложение, троян создает новый исполняемый файл с другим именем; эти случайные имена затрудняют безопасное удаление вредоносного ПО.)
Затем крэк-приложение запрашивает пароль администратора, запуская бэкдор с правами root. Это копирует исполняемый файл в /usr/bin/DivX, затем создает элемент автозагрузки в /System/Library/StartupItems/DivX. Программа проверяет, была ли она запущена с правами root, затем сохраняет хеш пароля root в файле /var/root/.DivX. Она слушает на случайном TCP-порту и отвечает на запросы, такие как GET / HTTP/1.0, отправляя пакет размером 209 байт, и совершает повторные соединения с двумя IP-адресами.
Далее крэк-приложение открывает образ диска, который скрыт в его ресурсной папке, в папке с именем .data, и приступает к крэку программы Photoshop, позволяя ее использовать.
Поскольку вредоносное программное обеспечение подключается к удаленному серверу через Интернет, создатель этого вредоносного ПО будет оповещен о том, что этот троян установлен на различных Mac, и сможет подключаться к ним и выполнять различные действия удаленно. Троян также может загружать дополнительные компоненты на зараженный Mac.
Intego выпускает это предупреждение, чтобы предостеречь пользователей Mac от загрузки установщиков Photoshop CS4 с сайтов, предлагающих пиратское программное обеспечение. (По данным крупного сайта-трекера BitTorrent, на 6 часов утра по восточному времени эту программу скачали почти 5000 человек.) Поскольку троян в данном случае находится только в крэк-приложении, которое поставляется вместе с Photoshop CS4, пользователям следует избегать загрузки любого крэк-софта с сайтов, распространяющих пиратское ПО. Риск заражения серьезен из-за большого количества зараженных пользователей, и эти пользователи могут столкнуться с чрезвычайно серьезными последствиями, если их Mac окажутся доступны злоумышленникам. Первая версия этого трояна была замечена при загрузке нового кода на зараженные компьютеры, которые затем использовались в DDoS-атаке (распределенный отказ в обслуживании) на определенные веб-сайты. Поскольку эта новая версия использует ту же технологию и обращается к тем же удаленным серверам, вероятно, она попытается загрузить новый код и выполнить подобные действия.