Összefoglaló
Az OSX.Slordu egy trójai program ami hátsó kaput nyit, és adatokat lop el a fertőzött számítógépről.
Leírás
Mikor a trójai aktiválódik regisztrálja magát az LaunchAgent-be, így az operációs rendszerrel együtt képes indulni.
Bemásolja magát az alábbi helyekre:
- $HOME/Library/LaunchAgents/clipboardd
- /Library/Logs/clipboardd
Létrehozza az alábbi fájlokat:
- $HOME/.fontset/pxupdate.ini
- $HOME/.fontset/chkdiska.dat
- $HOME/.fontset/chkdiskc.dat
- $HOME/com.apple.service.clipboardd.plist
- $HOME/Library/Logs/BackupData/[DATE]_keys.log
A következőkben a trójai kapcsolódik a 61.128.110.38:8000 IP címhez.
A trójai hátsó kaput nyit a fertőzött számítógépen annak érdekében, hogy az alábbi feladatokat hajtsa végre:
- Létrehoz egy távoli parancssori elérést
- Frissíti a konfigurációt
- Szkenneli a fájlrendszert
- Letölt fájlokat
- Új processzeket hoz létre
- Képernyőképeket készít
- Naplózza a billentyűleütéseket
A trójai megszerzi az alábbi információkat és elküldi egy távoli kiszolgálóra:
- Operációs rendszer neve és verziója
- Kliens neve
- Felhasználó neve
- Elkészített képernyőképek
- Naplózott billentyűleütések
- Otthoni mappa útvonala
- A telepített alkalmazások listája
A trójai ezen kívül az alábbi kiterjesztésű fájlokat lopja el az asztalról és a dokumentumok mappából:
- .doc
- .docx
- .ppt
- .pptx
Megoldás
Frissítse a biztonsági szofverei adatbázisát.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.symantec.com