OSX_IMULER.C
Publish Date: 09 Oktober 2012
Backdoor:OSX/Imuler.A (FSecure)
Plattform:
Mac OS X
Risikobewertung (gesamt):
Schadenspotenzial::
Verteilungspotenzial::
reportedInfection:
Niedrig
Mittel
Hoch
Kritisch
Malware-Typ:
Backdoor
Zerstrerisch?:
Nein
Verschlsselt?:
Nein
In the wild::
Ja
Überblick
Infektionsweg: Fallen gelassen von anderer Malware
Wird möglicherweise von anderer Malware eingeschleust.
Führt bestimmte Befehle aus, die sie extern von einem böswilligen Benutzer erhält. Dadurch sind der betroffene Computer und auf ihm gespeicherte Daten stärker gefährdet.
Technische Details
Dateigröße: 104,712 bytes
Dateityp: Mach-O
Speicherresiden: Ja
Erste Muster erhalten am: 21 März 2012
Schadteil: Connects to URLs/IPs
Übertragungsdetails
Wird möglicherweise von der folgenden Malware eingeschleust:
- OSX_IMULER.B
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein:
- /Users/{user name}/Library/LaunchAgents/checkvir
Autostart-Technik
Schleust die folgenden Dateien ein:
- /Users/{user name}/Library/LaunchAgents/checkvir.plist
Backdoor-Routine
Führt die folgenden Befehle eines externen, böswilligen Benutzers aus:
- Take a screen shot
- Update the C&C server name
- List the contents of a folder and save it as /tmp/launch-0rp.dat. Then upload the file /tmp/launch-0rp.dat.
- Get the file size of a file
- Download a file from a URL
- Execute a command via the shell
- Delete a file
- Download a file and save it as /tmp/xntaskz.gz. Decompress the downloaded file to /tmp/xntaskz. Execute the following command:
/tmp/CurlUpload -f /tmp/xntaskz
Download-Routine
Öffnet die folgenden Websites, um Dateien herunterzuladen:
- http://www.{BLOCKED}sbutters.com/CurlUpload
Speichert die heruntergeladenen Dateien unter den folgenden Namen:
- /tmp/CurlUpload
Lösungen
Mindestversion der Scan Engine: 9.200
Erste VSAPI Pattern-Datei: 8.866.05
Erste VSAPI Pattern veröffentlicht am: 27 März 2012
VSAPI OPR Pattern-Version: 8.867.00
VSAPI OPR Pattern veröffentlicht am: 27 März 2012
