Thông Tin Công Nghệ

Một trojan mới với tên gọi OSX/Crisis đã được Intego phát hiện và công bố hôm qua (24/7). Tuy nhiên, mã độc này chỉ hoạt động trên hai phiên bản OS X 10.6 (Snow Leopard) và OS X 10.7 (Lion).

OSX/Crisis sẽ tự động cài đặt vào máy tính người dùng mà không cần bất kì tương tác nào khác như việc đòi hỏi tên người dùng, mật khẩu để cấp quyền cho nó. Nó hoạt động ngay cả khi máy tính được khởi động lại. Khi khởi chạy, OSX/Crisis sẽ tự động đặt tên các thư mục ngẫu nhiên mà nó tạo ra. Sau đó một tập tin có tên gọi "appleHID" sẽ được tạo trong /Library/ScriptingAdditions/ directory và OSX/Crisis sẽ tự động cài đặt một gói phần mềm độc hại có tên com.apple.mdworker_server.xpc ẩn vào bên trong.

Nếu OSX/Crisis chạy trên hệ thống với quyền root, nó sẽ thả một rootkit để ẩn thân. Trong trường hợp không có quyền root nó sẽ tự động tạo 14 tập tin còn nếu nó chạy với quyền root nó sẽ tự động tạo ra 17 tập tin.

Nếu có (hoặc không có) quyền root, thư mục này được tạo ra:

  • /Library/ScriptingAdditions/appleHID/

Nếu chỉ với quyền root, thư mục này được tạo ra:

  • /System/Library/Frameworks/Foundation.framework/XPCServices/

Khi đã xâm nhập vào máy tính, nó sẽ tạo một backdoor. Cứ mỗi 5 phút nó lại gửi thông tin từ máy bị nhiễm trojan về máy chủ từ xa của hacker tại địa chỉ IP 176.58.100.37.

Ảnh
Mã nguồn OSX/Crisis.

Không giống như các phần mềm độc hại từng xâm nhập vào OS X trước đây, trojan này được cho là nguy hiểm hơn bởi nó sử dụng kĩ thuật đảo ngược và được ẩn thân dưới hệ thống cấp thấp làm cho việc xử lí khó khăn hơn.

Theo CNET




Bình luận

  • TTCN (0)