OSX_MOKES.A
Publish Date: 12 September 2016
MacOS:Ekoms-A [Trj] (Avast), OSX/Mokes.A (AVG), OSX/Mokes.odci (Avira), Backdoor.MAC.Mokes.A (BitDefender), OSX/Mokes.A (NOD32), Backdoor.MAC.Mokes.A (F-Secure), HEUR:Backdoor.OSX.Mokes.a (Kaspersky), OSX/Mokes-A (Sophos), Backdoor.Mokes (Symantec)
Plattform:
Mac OS X
Risikobewertung (gesamt):
Schadenspotenzial::
Verteilungspotenzial::
reportedInfection:
Trend Micro Lösungen:
Niedrig
Mittel
Hoch
Kritisch
Malware-Typ:
Backdoor
Zerstrerisch?:
Nein
Verschlsselt?:
Nein
In the wild::
Ja
Überblick
Infektionsweg: Aus dem Internet heruntergeladen, Fallen gelassen von anderer Malware
Um einen Überblick über das Verhalten dieser Backdoor zu erhalten, verwenden Sie das unten gezeigte Bedrohungsdiagramm.
Führt Befehle eines externen, böswilligen Benutzers aus, wodurch das betroffene System gefährdet wird.
Technische Details
Dateigröße: 14,371,256 bytes
Dateityp: Mach-O
Speicherresiden: Ja
Erste Muster erhalten am: 08 September 2016
Schadteil: Connects to URLs/IPs, Compromises system security
Autostart-Technik
Schleust die folgenden Dateien ein:
- /Users/{Username}/Library/LaunchAgents/{Dropped Copy filename}.plist
Backdoor-Routine
Führt die folgenden Befehle eines externen, böswilligen Benutzers aus:
- Record Audio every 30 seconds
- Monitor Removable Drives
- Take screenshots and images from installed camera
- Search and Download MS Office documents (doc, docx, xls, xlsx)
Einschleusungsroutine
Schleust die folgenden Dateien ein, in denen die gesammelten Daten gespeichert werden:
- $TMPDIR/ss0-{Date}-{Time}-{ms}.sst (Captured Screenshots)
- $TMPDIR/aa0-{Date}-{Time}-{ms}.aat (Captured Audio, WAV)
- $TMPDIR/kk0-{Date}-{Time}-{ms}.kkt (Keylogs)
- $TMPDIR/dd0-{Date}-{Time}-{ms}.ddt (Arbitrary Data)
Lösungen
Mindestversion der Scan Engine: 9.800
Erste VSAPI Pattern-Datei: 12.764.08
Erste VSAPI Pattern veröffentlicht am: 08 September 2016
VSAPI OPR Pattern-Version: 12.765.00
VSAPI OPR Pattern veröffentlicht am: 09 September 2016