Lamadait hozhat a nyuszi a Maceseknek

2012. április 02. 13:50 - Csizmazia Darab István [Rambo]

A becses Javás ajándékot Mac felhasználóknak készítették sok szeretettel, ám vélhetően mégsem a húsvéti nyúl lehet a potenciális elkövető. Fertőzés esetén a kártevő böngésző adatokat lop és továbbít készítőinek. Nem Lambada, Lamadai.

Az ESET kutatói nemrég hozták nyilvánosságra, hogy újabb darabbal bővült az OS X-en is működő kártevők gyűjteménye. Ezúttal egy Java sebezhetőséget kihasználó kód intéz támadást a webböngésző ellen, és bár Javát minden platformon találni, az OSX/Lamadai a frissítetlen Mac gépeket célozta meg, pedig ezen az alapon akár a Linux is belefért volna neki. (Magunk közt szólva a Linux ingyenessége és pofon egyszerű félautomata frissítési rendszere miatt úgy tippeljük, talán itt található a legkevesebb frissítetlen számítógép.)

Történetünk főszereplője bár a szokásos Mach-O formátumot hordozza, érdekes módon csak 64 bites, pedig kézenfekvő lehetőség lett volna mind a 32, mind pedig a 64 bites változat egyidejű fordítására. Szépen bemásolja magát a /Library/Audio/Plug-Ins/AudioServer mappába, majd egy indító script elkészítésével próbál meg arról gondoskodni, hogy minden rendszerindításkor lefuthasson a kód. Erre azért van szüksége, mert különben nem éli túl a gép újraindítását. Egyébként a legfrissebb OS X 10.7.2-ben elvileg nem is lehetne erre a könyvtárra írási joga, hogy aztán visszamenőleg a korábbi változatoknál ez éppen hogy állt, azt nem ismerjük pontosan.

Ha már fut a kártevő, akkor megpróbál kapcsolódni az irányító szerverhez, ez az analízis időpontjában a dns.assyra.com oldalt (100.42.217.73) jelentette, és felépít vele egy TCP kapcsolatot a 8008-as porton. Innen már ismerős mederben folynak az események, lehetőség van fájl feltöltésére a gépre, lehetőség van onnan letölteni, és "természetesen" Remote Shell segítségével távolról átvehető az irányítás a gép felett. A kliens és a C&C szerver közötti kommunikáció titkosítva (XOR és AES) zajlik, valamint az illetéktelen belepiszkálás ellen SHA1 hash alapú hitelesítést, integráció ellenőrzést is végez, és egyéb komplex módokon is igyekszik a hálózati csomagok, a forgalmi napló elemzését nehezíteni.

Az ESET programjai a 7001-es március végi update óta OSX/Lamadai.A néven azonosítják és felismerik a kártevőt. Időközben az Apple ezt a Java sérülékenységet március 29-én már sikeresen befoltozta a kibocsátott javító folttal.

Mindenesetre ez is egy újabb figyelmeztetés a felhasználóknak, egy felkiáltó jel lehet, hogy mindenki folyamatosan figyelje és mielőbb alkalmazza a különféle megjelenő biztonsági frissítéseket.

Szólj hozzá!

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr64355967

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.