OSX_KONTROL.HVN
PLATFORM:
Mac OS X
OVER ALL RISK RATING:
DAMAGE POTENTIAL::
DISTRIBUTION POTENTIAL::
REPORTED INFECTION:
Low
Medium
High
Critical
Threat Type:
Backdoor
Destructiveness:
No
Encrypted:
No
In the wild::
Yes
OVERVIEW
INFECTION CHANNEL: Eliminado por otro tipo de malware
Puede haberlo infiltrado otro malware.
Ejecuta determinados comandos que recibe de forma remota desde un usuario malicioso. De esta forma pone en gran peligro el equipo afectado y la información del mismo. Se conecta a un sitio Web para enviar y recibir información.
TECHNICAL DETAILS
File size: 95,828 bytes
File type: Mach-O
Memory resident: Yes
INITIAL SAMPLES RECEIVED DATE: 29 de marca de 2012
PAYLOAD: Compromises system security
Detalles de entrada
Puede haberlo infiltrado el malware siguiente:
- TROJ_MDROPR.LB
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado:
- /Library/launched
Técnica de inicio automático
Infiltra los archivos siguientes:
- /Users/{user name}/Library/LaunchAgents/com.apple.FolderActionsxl.plist
Rutina de puerta trasera
Ejecuta los comandos siguientes desde un usuario remoto malicioso:
- Delete a file
- Terminate a process
- Get operating system version, user name, and machine name
- Get list of processes
- List directory contents
- Send a file to the C&C server
- Receive a file from the C&C server
- Execute a file
- Uninstall itself
- Open a remote shell (/bin/sh)
Se conecta a los sitios Web siguientes para enviar y recibir información:
- {BLOCKED}bet2012.{BLOCKED}p.net:80
SOLUTION
Minimum scan engine: 9.200
First VSAPI Pattern File: 8.872.08
First VSAPI Pattern Release Date: 30 de marca de 2012