OSX_KEYDNAP.J
OSX/Keydnap.A (NOD32), Backdoor:MacOS_X/Keydnap.A (Microsoft)
PLATFORM:
Mac OS X
OVER ALL RISK RATING:
DAMAGE POTENTIAL::
DISTRIBUTION POTENTIAL::
REPORTED INFECTION:
INFORMATION EXPOSURE:
Low
Medium
High
Critical
Threat Type:
Backdoor
Destructiveness:
No
Encrypted:
Yes
In the wild::
Yes
OVERVIEW
INFECTION CHANNEL: Descargado de Internet, Eliminado por otro tipo de malware
Puede haberlo infiltrado otro malware.
Roba determinada información del sistema y/o del usuario.
TECHNICAL DETAILS
File size: 3,035,136 bytes
File type: Mach-O
Memory resident: Yes
INITIAL SAMPLES RECEIVED DATE: 15 de сентября de 2016
PAYLOAD: Steals information, Compromises system security
Detalles de entrada
Puede haberlo infiltrado el malware siguiente:
- OSX_DROPPER.A
Instalación
Agrega los procesos siguientes:
- icloudproc
- License.rtf
- icloudsyncd
- /usr/libexec/icloudsyncd -launchd netlogon.bundle
Rutina de infiltración
Infiltra los archivos siguientes:
- /Applications/Transmission.app/Contents/Resources/License.rtf
- /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
- $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/icloudsyncd
- $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/process.id
- $HOME/Library/LaunchAgents/com.apple.iCloud.sync.daemon.plist
- /Library/Application Support/com.apple.iCloud.sync.daemon/
- $HOME/Library/LaunchAgents/com.geticloud.icloud.photo.plist
Robo de información
Roba la siguiente información:
- Keychain credentials
SOLUTION
Minimum scan engine: 9.800
First VSAPI Pattern File: 12.778.06
First VSAPI Pattern Release Date: 15 de сентября de 2016
VSAPI OPR PATTERN-VERSION: 12.779.00
VSAPI OPR PATTERN DATE: 16 de сентября de 2016