Создан вирус, невидимый для антивирусов и Mac OS X

Эксперт по безопасности Патрик Уордл (Patrick Wardle) обнаружил RAT-вредонос, который атакует компьютеры под управлением Mac OS X и умудряется оставаться невидимым для антивирусов. Помимо Mac OS, программа может атаковать Windows и Linux.

Речь идет о Coldroot RAT, которая способна выполнять, в том числе, функции кейлоггера. Ее установщик под Mac OS X маскируется под аудиодрайвер Apple com.apple.audio.driver2.app. При установке пользователю выводится запрос на разрешение, требующий ввода логина и пароля к MacOS. Таким образом, пользователи невольно сами способствуют установке вредоноса на компьютеры.

Уордл отметил, что файл com.apple.audio.driver2.app привлек его внимание наличием отсылки к TCC.db — локальной базе данных, которая отслеживает все установленные приложения и уровень их доступа к функциям операционной системы. Вытянув у пользователя локальные логин и пароль, RAT модифицирует TCC.db и пытается обеспечить себе возможность универсального доступа, так, чтобы перехватывать все сигналы от клавиатуры и мыши. А, возможно, и не только перехватывать.

Попав в систему, RAT инсталлируется как «демон» запуска (launch daemon) Mac OS X и тем самым обеспечивает себе постоянное присутствие.

Версия для печатиВерсия для печати

Регион: 

Рубрики: 

Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Комментарии

Зашыбенны незаўважны вірус, які патрабуе для ўстаноўкі пароль увесьці. Амаль як той самы легендарны арабскі вірус.
-2

Aliaksandr Dzeshchanka пишет:

Зашыбенны незаўважны вірус, які патрабуе для ўстаноўкі пароль увесьці. Амаль як той самы легендарны арабскі вірус.


Многие системы, при своём изменении, требуют пароля, который конечно не отправляют устанавливаему приложению (в данном случае типа драйверу)  - и это считается нормой.

В данном случае вирус маскирует своё требование под требование как бы от системы. И получает пароль.