TechnoGuideМир технологийНовинки

Новая версия BackDoor.Flashback расширила свой функционал

| 24.11.2011

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Новая версия BackDoor.Flashback расширила свой функционал

Компания «Доктор Веб» уже сообщала в своих новостных выпусках о вредоносной программе BackDoor.Flashback, представляющей угрозу для пользователей операционной системы Mac OS X. В ноябре 2011 года специалистами «Доктор Веб» была выявлена новая модификация этого многокомпонентного бэкдора, вошедшая в вирусные базы Dr.Web как BackDoor.Flashback.8.

Напомним, что BackDoor.Flashback — весьма сложный по своей архитектуре многокомпонентный бэкдор для Mac OS X. Установщик этого вредоносного ПО маскируется под программу-инсталлятор Adobe Flash Player. Пользователю Mac OS X предлагается загрузить и установить архив, содержащий файл с именем FlashPlayer-11-macos.pkg (для других ОС загрузка не выполняется). После запуска установщик пытается скачать с удаленного сайта основной модуль троянца. Если загрузить его не удается, установщик прекращает работу.

Основной модуль BackDoor.Flashback реализует в системе функции бэкдора и способен выполнять команды, поступающие от многочисленных удаленных серверов или директивы, содержащиеся в конфигурационном файле (например, такую команду, как интегрирование в просматриваемые пользователем веб-страницы кода на языке JavaScript). Однако библиотека позволяет выполнять и любые стандартные команды shell.

Старая версия троянца обладает встроенным механизмом проверки первичных управляющих серверов, указанных в конфигурационном файле: троянец выбирает тот сервер, который возвращает подписанный цифровой подписью SHA1 от собственного имени. В качестве резервного канала для получения команд могут использоваться сообщения на сервере mobile.twitter.com.

Новая версия бэкдора, BackDoor.Flashback.8, отличается от своих предшественниц тем, что в нее добавлена возможность встраивания вредоносных модулей в различные процессы. Этот механизм реализован двумя различными способами в зависимости от того, присутствуют ли в целевом процессе экспортированные функции из модуля dyld. В случае их отсутствия троянец ищет необходимые функции в памяти.

Во избежание заражения вредоносной программой BackDoor.Flashback пользователям операционной системы Mac OS X рекомендуется отключить в настройках браузера функцию автоматического открытия сохраненных файлов после их загрузки. Не забывайте также о том, что обновления проигрывателя Flash лучше загружать и устанавливать только с официального сайта Adobe. Сигнатура данной угрозы уже добавлена в вирусные базы Антивируса Dr.Web для Mac OS X.

Мероприятия

05.09.2018 — 07.09.2018
MERLION IT Solutions Summit

Москва, Сколково

13.09.2018 — 14.09.2018
IV Форум промышленной автоматизации Industrial IT Forum

Санкт-Петербург, конгресс-центр «ЛЕНПОЛИГРАФМАШ» (пр. Медиков, д.3)

19.09.2018 — 20.09.2018
IV Федеральный ИТ-форум нефтегазовой отрасли России «Smart Oil & Gas

Санкт-Петербург, Отель «Хилтон Санкт-Петербург Экспофорум» (площадка Петербургского международного экономического форума), Петербургское шоссе, д.62, стр.1, Санкт-Петербург

23.09.2018 — 25.09.2018
XII Конгресс "Подмосковные вечера"

Москва, Атлас Парк Отель. Домодедово, Судаково, 92,

26.09.2018
Loginom Day 2018: продвинутая аналитика, легкая в приготовлении

Москва, event-холл «Инфопространство»