บอทมัลแวร์ 'สึนามิ' โทรจันไปยัง OS X แล้ว

19
05月

วันอื่นโทรจันอื่น บอทมัลแวร์ชื่อ "สึนามิ" ที่พัฒนาขึ้นสำหรับระบบลีนุกซ์ตั้งแต่ประมาณปี 2545 ได้ถูกค้นพบใน OS X

มัลแวร์ (OSX / Tsunami.A) เป็นภัยคุกคามที่น้อยที่สุดและเช่นเดียวกับโทรจันและแบ็คดอร์อื่น ๆ สำหรับ OS X คุณต้องติดตั้งด้วยตนเอง แม้ว่ามันจะไม่เกี่ยวข้องกับผู้ใช้ส่วนใหญ่ แต่ก็มีอยู่จริงและมีศักยภาพที่จะก่อให้เกิดอันตรายสำหรับบางคน

มัลแวร์เป็นบอต IRC ซึ่งเป็นโปรแกรมที่เชื่อมต่อกับเซิร์ฟเวอร์และช่องทางเครือข่าย Internet Relay Chat (IRC) ซึ่งสามารถควบคุมได้ในฐานะไคลเอนต์สำหรับการโจมตีแบบปฏิเสธการให้บริการ (DDoS) แบบกระจายบนระบบและเครือข่ายเป้าหมาย นอกจากนี้ยังมีความสามารถในการดาวน์โหลดไฟล์ไปยังระบบที่ติดเชื้อและเรียกใช้คำสั่งเชลล์ (คำสั่งเทอร์มินัล) บนมัน

ตัวแปร OS X ปัจจุบันของมัลแวร์นี้ดูเหมือนจะไม่ทำงานและอาจอยู่ในขั้นตอนการทดสอบ

บอท IRC เป็นโปรแกรมทั่วไปที่ใช้สำหรับกิจกรรมที่ถูกต้องตามกฎหมายจำนวนมากบนเซิร์ฟเวอร์ IRC แต่เช่นเดียวกับงานประจำที่มีเจตนาดีอื่น ๆ มีโอกาสที่บอตเหล่านี้จะได้รับการพัฒนาและใช้สำหรับกิจกรรมที่เป็นอันตราย

กลุ่มการตรวจจับมัลแวร์ ว่าจนถึงขณะนี้มีสองสายพันธุ์ของมัลแวร์นี้ที่เชื่อมต่อกับเซิร์ฟเวอร์และช่องทาง IRC ที่แตกต่างกัน ตัวแปรทั้งสองจำเป็นต้องมีคนเปิดไฟล์ติดตั้งด้วยตนเองซึ่งจะทำการกระทำดังต่อไปนี้:

  1. ติดตั้งมัลแวร์ในไดเรกทอรี / usr / sbin /
    มัลแวร์ปลอมตัวเป็นเครื่องมือบรรทัดคำสั่งที่เรียกว่า "logind" อย่างชาญฉลาดซึ่งอาจมีความสำคัญต่อระบบ ใน OS X โปรแกรมพื้นหลังต่างๆเรียกว่า daemons และลงท้ายด้วย "d" ในชื่อเพื่อแสดงถึงสิ่งนี้ มัลแวร์ทั้งคู่พยายามเลียนแบบสิ่งนี้และวางไว้ในไดเรกทอรีระบบที่ซ่อนอยู่ (/ usr / sbin) ซึ่งมีบริการพื้นหลังอื่น ๆ อยู่ดังนั้นจึงอาจผสมผสานกันได้

    OS X มีเครื่องมือพื้นหลังที่เรียกว่า "logind" แต่จะอยู่ในไดเร็กทอรี / System / Library / CoreServices / / และไม่อยู่ในไดเร็กทอรี / usr / sbin /

  2. มันแก้ไข daemon เรียกใช้ระบบ
    กระบวนการเข้าสู่ระบบ OS X จริง (หนึ่งในไดเรกทอรี CoreServices ของระบบ) ได้รับการจัดการโดยระบบเปิด daemon ชื่อ "com.apple.logind.plist" ซึ่งอยู่ในไดเรกทอรี / System / Library / LaunchDaemons / แต่เมื่อมัลแวร์สึนามิเป็น ติดตั้งแล้วจะแทนที่เนื้อหาของไฟล์ daemon สำหรับเรียกใช้งานนี้พร้อมรหัสที่เรียกใช้มัลแวร์เมื่อเริ่มต้นโดยอัตโนมัติและทำให้มันยังคงทำงานบนระบบ

ไฟล์รายชื่อคุณสมบัติที่ถูกต้องควรอ่านดังนี้:

รายการคุณสมบัติเข้าสู่ระบบเพื่อสุขภาพ
รายการคุณสมบัติการบันทึก OS X ที่สมบูรณ์ควรมีลักษณะดังนี้ (คลิกเพื่อดูขนาดใหญ่ขึ้น) สกรีนช็อตโดย Topher Kessler

หากมีการติดตั้งมัลแวร์ในระบบเนื้อหาของไฟล์นี้จะถูกแทนที่และคุณจะเห็นสิ่งต่อไปนี้แทน:

รายการคุณสมบัติการเข้าสู่ระบบรุ่นที่ติดไวรัส
บนระบบที่ติดไวรัสรายการคุณสมบัติ logind จะมีลักษณะเช่นนี้ (คลิกเพื่อดูขนาดใหญ่ขึ้น) สกรีนช็อตโดย Topher Kessler

เช่นเดียวกับม้าโทรจันอื่น ๆ มัลแวร์นี้เป็นภัยคุกคามที่น้อยที่สุดและควรจับถ้าคุณมีเครื่องมือที่ติดตั้งเช่น ซึ่งจะตรวจจับเมื่อโปรแกรมและบริการเบื้องหลังพยายามติดต่อเซิร์ฟเวอร์บนอินเทอร์เน็ต หากคุณมี Little Snitch ติดตั้งอยู่และดูกระบวนการพยายามติดต่อเซิร์ฟเวอร์ "pingu.anonops.li" หรือ "x.lisp.su" - หรือสำหรับเรื่องนั้นหรือเซิร์ฟเวอร์อื่น ๆ โดยเฉพาะถ้าเป็น ใช้พอร์ต 6667 (พอร์ตที่ใช้โดยทั่วไปเพื่อแจกจ่ายมัลแวร์ผ่านการเชื่อมต่อ IRC) - จากนั้นปฏิเสธการเข้าถึงและตรวจสอบว่ามีการติดตั้งมัลแวร์หรือไม่

หากต้องการดูว่ามีการติดตั้งมัลแวร์ในระบบของคุณหรือไม่ให้ไปที่ไดเรกทอรี / Macintosh HD / System / Library / LaunchDaemons / และเปิดไฟล์ชื่อ "com.apple.logind.plist" เปรียบเทียบกับภาพหน้าจอด้านบนและหากดูเหมือนว่าหน้าจอที่สองจากนั้นแทนที่เนื้อหาด้วยภาพที่แสดงในภาพหน้าจอแรก เนื่องจากไฟล์นี้อยู่ในไดเรกทอรีระบบคุณอาจต้องใช้เครื่องมือเช่น เพื่อให้สามารถตรวจสอบสิทธิ์ได้อย่างถูกต้องและแก้ไขไฟล์

นอกเหนือจากการคืนค่าไฟล์เรียกใช้งาน daemon ที่เปลี่ยนแปลงแล้วให้ตรวจสอบเพื่อดูว่ากระบวนการ loggue ที่ได้รับการติดตั้งในระบบของคุณหรือไม่ ใน Finder ให้เลือก "ไปที่โฟลเดอร์" จากเมนูไปแล้วป้อน "/ usr / sbin" ในช่องข้อความ Finder ควรเปิดไดเรกทอรีระบบที่ซ่อนอยู่ซึ่งคุณสามารถค้นหาและลบไฟล์ที่เรียกว่า "logind" หากมีอยู่ เมื่อคุณลบมันระบบจะถามรหัสผ่านผู้ดูแลระบบของคุณเพื่อทำการจัดเตรียมและลบไฟล์

โปรแกรมบันทึกการทำงานของโปรแกรมโกงในซ่อน / usr / sbin / โฟลเดอร์
หากคุณค้นหาไฟล์นี้ในไดเรกทอรี / usr / sbin / ให้ลบออก (คลิกเพื่อดูขนาดใหญ่) สกรีนช็อตโดย Topher Kessler

เกินกว่าที่จะลบมัลแวร์ด้วยตนเองเนื่องจากพบสึนามิรุ่น Mac ในวันที่ 25 ตุลาคมคำจำกัดความมัลแวร์ต่างๆรวมถึงที่มาจาก F-Secure และ Intego ได้รับการอัพเดตเพื่อตรวจจับและลบมัลแวร์นี้ออกจากระบบ อัปเดตคำจำกัดความแล้ว



คำถาม? ความคิดเห็น? มีการแก้ไขหรือไม่? โพสต์ไว้ด้านล่างหรือ ส่งอีเมลถึงเรา !
อย่าลืมแวะมาที่ และ

แบ่งปันเสียงของคุณ

แท็ก