Новый троян для Mac OS X показывает PDF-документ

    Компания F-Secure сообщает о вредоносной программе Trojan-Dropper:OSX/Revir.A, которая ведёт себя странно. После запуска на компьютере троян извлекает PDF-файл в папку /tmp и отображает документ на китайском языке. В это время скачивается бэкдор Backdoor:OSX/Imuler.A с адреса tarmu.narod.ru[...].

    Специалисты затрудняются объяснить, почему вирус ведёт себя таким образом, ведь у него нет ни иконки PDF-документа, ни «двойного» расширения .pdf.exe, как у аналогичных вирусов под Windows. Возможно, в вирусную лабораторию F-Secure троян попал без сопутствующих компонентов.

    Судя по всему, это просто экспериментальный образец от начинающих авторов.
    Support the author
    Share post

    Similar posts

    Comments 27

      +29
      Специалисты затрудняются объяснить, почему вирус ведёт себя таким образом

      Это лицензионное соглашение.
        0
        > документ на китайском языке
        > tarmu.narod.ru
        где подвох?
        имхо вполне веорятно, что наш парень скачал китайских сурцев, немного их подправил, и пустил в сеть.
          +1
          Это же очевидно!
          Когда пользователь видит документ на непонятном языке, идёт его переводить (включая интернет), и за т время вирь качается.
            +13
            Когда я вижу документ на незнакомом языке — я его закрываю.
              –4
              Вы — дипломированный специалист, в Intel работаете. А я говорю про среднестатистическую домохозяйку, которая может вести недельные переписки с нигерийцами.
              • UFO just landed and posted this here
                  –5
                  Возможно поэтому у среднестатистической домохозяйки компьютер под управление Windows, а не Mac OS?
                  • UFO just landed and posted this here
                      –3
                      Что за клеше? И вообще — у среднестатистической домохозяйки, раз уж на то пошло, на мак денег просто не хватит:(
                        +5
                        Если смотреть на забугорных домохозяек, то там как раз лучше вложиться на мак(+200баксов), чем потом платить приходящему инженеру чистить комп(баксов на 500 легко можно попасть).
                    • UFO just landed and posted this here
            +2
            ну на этот раз хоть без запроса пароля все происходит?
              0
              Специалисты затрудняются объяснить, почему вирус ведёт себя таким образом, ведь у него нет ни иконки PDF-документа, ни «двойного» расширения .pdf.exe, как у аналогичных вирусов под Windows.

              Прям уж так и затрудняются, обычный банд без расширения с флагом выполнения. Прием очень старый, ставим иконку текстового файла, при открытии открываем какой-нибудь текстовый файл внутри. Пользователь думает что открыл текстовый файл, на самом деле запустил программу.
                +2
                в таком случае MacOS еще и начнет ругаться мол «запускаемая штука является программой скачаной с <имясайта> в <время>, точно хочешь запустить?»
                ну и пароль потом возжелает
                  0
                  Пароль то зачем возжелает? ничего подобного. Спросит же если не упаковать, тем более пользователи уже выработали иммунитет, слишком часто спрашивает.

                  Я сам такое писал пару лет назад, до кучи можно даже кейлоггер сделать, опять же без пароля, правда работает только у кого включены assistive devices, но они включены почти у всех.
                    0
                    Кстати есть «хак» как незаметно включить поддержку assistive devices без пароля, через симуляцию.
                      0
                      Нужно еще экран замарозить, я вкурсе, но только в теории, сам не пробовал.
              • UFO just landed and posted this here
                • UFO just landed and posted this here
                    0
                    И всё-таки интересно что же там по китайски-то написано? Особенно интересно учитывая что на F-Secure написано:
                    The content of the document is taken from an article that was circulating late last year, and contains Chinese-language text related to political issues, which some users may find offensive.
                    Документ на китайском языке представляет собой выдержку из прошлогодней статьи на политическую тематику, содержание которой может быть оскорбительно.
                      +1
                      В маке много удобных фич, вроде автораспаковки zip-файлов. Может быть что-то автоматически выполняется средой с PDF файлом, тем самым запуская вредоносный код?
                        0
                        По-моему, распаковка архивов — это одна из немногих крайне неудобных вещей на маке.
                          0
                          лечится это довольно элементарно: Preferences-> Gerenal и снять галку у «Open safe files after downloading»
                            0
                            Не автоматическая распаковка (я пользуюсь Google Chrome, и он у меня не распаковывавает сам — может быть я отключил эту фичу год назад), а распаковка архивов вообще — мне всё попадаются какие-то программы из серии «это просто работает», когда по двойному клику на архив в лучшем случае можно выбрать место для распаковки, а обычно они просто полностью распаковывают архив в ту же папку.

                            А мне нужен интерфейс à la WinRAR, чтобы я мог открыть архив, пошариться по нему, выбрать необходимые мне файлы, добавить нужные файлы в архив, удалить ненужные файлы из архива и т.п.

                            Может подскажите что удобное? Я пока не нашёл.
                              0
                              BetterZip, вообще тысячи их.
                        –1
                        ПОЦАНЫ, ГДЕ СКОЧАТЬ?!
                          0
                          Когда я вижу документ на незнакомом языке — я его закрываю немедленно! Рекомендую

                          Only users with full accounts can post comments. Log in, please.