Главная Регистрация Вход
RSS
Навигатор
Форум
Новости
Файлы
Обменник
Архив файлов
Обратная связь
Отзывы о нас
О сайте
Поиск по сайту
Мини-чат
Проголосуй
Нашли ли вы то за чем к нам зашли?
1. Да
2. Всё не как не могу найти что то, а где у вас раздел с газонокосилками?
3. Нет, вообще даже близко нету ничего похожего
4. Нет
5. А я ничё и не искал у вас...
6. Да, но не совсем то
Всего ответов: 15
Статистика
Всего on-line: 1
Гостей: 1
Пользователей: 0
Счётчик материалов Форум: 363/99
Новости: 8206
Обменник: 25
Архив файлов: 210
Комментарии: 19
Реклама
Главная » Новости » Троян MacControl нашли в документах Word
Троян MacControl нашли в документах Word
29.03.12 02:42:12
Специалисты компании AlienVault обнаружили троянскую программу, которая распространяется с файлами MS Office и устанавливается в системе с помощью критической уязвимости MS09-027 в Microsoft Office. Уязвимость датируется 2009 годом, но используется до сих пор. По информации AlienVault, рассылкой вредоносных файлов занимается та же организация, которая и раньше была замечена в атаках на тибетские неправительственные организации.

Исследователи говорят, что это один из редких случаев, когда они увидели реально использующийся троян под Mac, внедрённый в офисные файлы. Такие встречаются исключительно редко. Программа может эффективно работать, если попадает в систему с правами администратора, иначе её функциональность ограничена.

В данном случае DOC-файл рассылается под видом послания «тибетцам всего мира» (см. текст сообщения). После открытия файла шелл-код записывает вредоносный код в папку /tmp/ (bash-файл, нормальный doc-файл, бинарник). Bash-скрипт запускается на исполнение (/tmp/launch-hs):

Code

fstat(0×2, 0xBFFF4CD0, 0×200)

fstat(0×24, 0xBFFF4CD0, 0×200)
lseek(0×24, 0×6600, 0×0) #File Offset on the doc file
open(“/tmp/launch-hs\0″, 0×602, 0x1FF)
open(“/tmp/launch-hse\0″, 0×602, 0x1FF)
open(“/tmp/file.doc\0″, 0×602, 0x1FF)

read(0×24, “#!/bin/sh\n/tmp/launch-hse &\nopen /tmp/file.doc &\n\n\0″, 0×32)
write(0×26, “#!/bin/sh\n/tmp/launch-hse &\nopen /tmp/file.doc &\n\n\0″, 0×32) …



close(0×28)
vfork()
execve(0×28, 0xBFFF4B80, 0×0)


С&С-сервер первого из двух троянов находится по следующему адресу:
- 2012.slyip.net : 173.255.160.234
173.255.160.128 – 173.255.160.255
Black Oak Computers Inc – New York – 75 Broad Street
New York, NY, US

Второй троян, имеющий внутреннее название MacControl, создаёт файл /Users/{User}/Library/LaunchAgents/com.apple.FolderActionxsl.pslist и запускается при следующем старте системы.



Он посылает на удалённый сервер некоторую информацию о жертве: имя пользователя, имя хоста, версию системы, после чего ждёт команд от удалённого сервера, работая как классический RAT.

В данном случае командный сервер находится на адресе 114.249.207.194 в Китае:
114.240.0.0 – 114.255.255.255
China Unicom Beijing province network
China Unicom

Ни одна из перечисленных вредоносных программ на данный момент не обнаруживается антивирусами (нулевая видимость).
Добавил: Admin () | Просмотров: 1302


Реклама
Статистика
Авторизация
Логин:
Пароль:
Новые программы
Новые комментарии
26.02.13 01:41:05
Рейчел Кейн - Повелители стихий. Книга 4. Наступление бури: Тема на форуме: Рейчел Кейн - Повелители стих
Комментатор: Admin
23.12.12 01:54:05
YotaPhone — российский смартфон c двумя экранами: Верится с трудом что данный аппарат выйдет на рынок, и тем более сможет конкурировать с другими устр
Комментатор: Admin
15.12.12 18:54:03
LG собирается стать влиятельным поставщиком чипов, первый — в 2013 году: LG все равно Samsung не перегнать :)
Комментатор: Admin

Правообладателям

Информационно - развлекательный портал softolab.com.
При копировании материалов с сайта активная индексируемая ссылка на сайт softolab.com ОБЯЗАТЕЛЬНА.
Сайт оптимизирован для просмотра в браузерах Mozilla Firefox и Opera при разрешении экрана 1280x1024
Copyright SOFTOLAB 2010-2024