Всего три дня назад я писал о том, что был обнаружен новый троян под Mac, а уже сегодня в сети появилась его модификация. На этот раз троян распространяется в торрентах с пакетом Photoshop CS4. Сам пакет чист, но вот распространяемая с ним программа для генерации серийных номеров — с подарком.
Что и как делают кряк и троян:
Троян получил название OSX.Trojan.iServices.B, а обнаружен был все той же компанией Intego. По их данным, возможное число зараженных компьютеров — около 5 000.
В любом случае лучшая защита — не давать пароля рута неизвестным приложениям, либо программам не из официальных источников.
Что и как делают кряк и троян:
- Для запуска кряк просит пароль рута, который используется для передачи соответствующих прав трояну.
- При запуске кряка, троян распаковывается в /var/tmp/ со случайным именем файла. При повторном запуске генерируется второй аналогичный файл.
- Троян копируется в /usr/bin/DivX и создает ключ автозапуска в /System/Library/StartupItems/DivX.
- Троян проверяет наличие рутовых прав и сохраняет хеш пароля рута в /var/root/.DivX.
- Троян прослушивает случайный ТСР порт и отвечает на внешние запросы пакетами по 209 байт. Также он периодически подключается к двум IP-адресам.
- Кряк открывает образ диска, спрятанный в директории с его ресурсами, и собственно ломает защиту фотошопа.
Троян получил название OSX.Trojan.iServices.B, а обнаружен был все той же компанией Intego. По их данным, возможное число зараженных компьютеров — около 5 000.
В любом случае лучшая защита — не давать пароля рута неизвестным приложениям, либо программам не из официальных источников.