OSX.Slordu

CH azonosító

CH-11591

Angol cím

OSX.Slordu

Felfedezés dátuma

2014.09.04.

Súlyosság

Alacsony

Érintett rendszerek

Apple
Mac OS X

Érintett verziók

Mac OS X

Összefoglaló

Az OSX.Slordu egy trójai program ami hátsó kaput nyit, és adatokat lop el a fertőzött számítógépről.

Leírás

Mikor a trójai aktiválódik regisztrálja magát az LaunchAgent-be, így az operációs rendszerrel együtt képes indulni.

Bemásolja magát az alábbi helyekre:

  • $HOME/Library/LaunchAgents/clipboardd
  • /Library/Logs/clipboardd

Létrehozza az alábbi fájlokat:

  • $HOME/.fontset/pxupdate.ini
  • $HOME/.fontset/chkdiska.dat
  • $HOME/.fontset/chkdiskc.dat
  • $HOME/com.apple.service.clipboardd.plist
  • $HOME/Library/Logs/BackupData/[DATE]_keys.log

A következőkben a trójai kapcsolódik a 61.128.110.38:8000  IP címhez.

A trójai hátsó kaput nyit a fertőzött számítógépen annak érdekében, hogy az alábbi feladatokat hajtsa végre:

  • Létrehoz egy távoli parancssori elérést
  • Frissíti a konfigurációt
  • Szkenneli a fájlrendszert
  • Letölt fájlokat
  • Új processzeket hoz létre
  • Képernyőképeket készít
  • Naplózza a billentyűleütéseket

A trójai megszerzi az alábbi információkat és elküldi egy távoli kiszolgálóra:

  • Operációs rendszer neve és verziója
  • Kliens neve
  • Felhasználó neve
  • Elkészített képernyőképek
  • Naplózott billentyűleütések
  • Otthoni mappa útvonala
  • A telepített alkalmazások listája

A trójai ezen kívül az alábbi kiterjesztésű fájlokat lopja el az asztalról és a dokumentumok mappából:

  • .pdf
  • .doc
  • .docx
  • .ppt
  • .pptx

Megoldás

Frissítse a biztonsági szofverei adatbázisát.