OSX_KONTROL.HVN
Data de publicação: 09 outubro 2012
Plataforma:
Mac OS X
Classificao do risco total:
Potencial de dano:
Potencial de distribuição:
infecção relatada:
Baixo
Medium
Alto
Crítico
Tipo de grayware:
Backdoor
Destrutivo:
Não
Criptografado:
Não
In the Wild:
Sim
Visão geral
Canal de infecção: Fallen gelassen von anderer Malware
Wird möglicherweise von anderer Malware eingeschleust.
Führt bestimmte Befehle aus, die sie extern von einem böswilligen Benutzer erhält. Dadurch sind der betroffene Computer und auf ihm gespeicherte Daten stärker gefährdet. Verbindet sich mit einer Website, um Daten zu versenden und zu empfangen.
Detalhes técnicos
Tipo de compactação: 95,828 bytes
Tipo de arquivo: Mach-O
Residente na memória: Sim
Data de recebimento das amostras iniciais: 29 março 2012
Carga útil: Compromises system security
Übertragungsdetails
Wird möglicherweise von der folgenden Malware eingeschleust:
- TROJ_MDROPR.LB
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein:
- /Library/launched
Autostart-Technik
Schleust die folgenden Dateien ein:
- /Users/{user name}/Library/LaunchAgents/com.apple.FolderActionsxl.plist
Backdoor-Routine
Führt die folgenden Befehle eines externen, böswilligen Benutzers aus:
- Delete a file
- Terminate a process
- Get operating system version, user name, and machine name
- Get list of processes
- List directory contents
- Send a file to the C&C server
- Receive a file from the C&C server
- Execute a file
- Uninstall itself
- Open a remote shell (/bin/sh)
Verbindet sich mit den folgenden Websites, um Daten zu versenden und zu empfangen.
- {BLOCKED}bet2012.{BLOCKED}p.net:80
Solução
Mecanismo de varredura mínima: 9.200
Primeiro arquivo padrão VSAPI: 8.872.08
Data do lançamento do primeiro padrão VSAPI: 30 março 2012