Троянский довесок для вашего Мака

Эксперты Intego предупреждают о появлении нового многофункционального OSX-троянца, который загружается из Сети вместе с популярными приложениями и скринсейверами.

OSX/OpinionSpy (в классификации ЛК Trojan.OSX.Spynion.a) проникает на компьютер пользователя в процессе инсталляции легитимных продуктов, которые можно скачать на таких веб-сайтах, как MacUpdate, VersionTracker и Softpedia. Иногда он замаскирован под «исследовательскую программу», навязываемую вместе с легальным ПО как средство изучения пользовательского спроса.

Как показал анализ, OSX/OpinionSpy является модификацией зловреда, созданного для Windows-платформ еще в 2008 году. Его функционал, как и стоило ожидать, значительно шире объема задач, предусмотренных обычным маркетинговым исследованием, и позволяет классифицировать его как умелого шпиона.

OSX/OpinionSpy лишен интерфейса и работает с root-привилегиями (при инсталляции запрашивает пароль администратора). Его легального собрата по загрузке можно удалить, но троянского лазутчика такая деинсталляция не затронет, и он останется хозяйничать в системе. Если по каким-либо причинам исполнение OSX/OpinionSpy приостановлено, он возобновляет работу, используя механизм автозапуска launchd.

Зловред открывает http-бэкдор на порту 8254, сканирует доступное дисковое пространство, анализирует файлы, не стесняясь под завязку загрузить процессор. Анализу подвергаются также все пакеты, передаваемые по локальной сети, что позволяет шпиону собрать информацию о всех подключенных к ней компьютерах. OSX/OpinionSpy внедряет свой код в Safari, Firefox и iChat в процессе их работы и копирует все данные, которые сочтет полезными. Собранная информация о пользователе, его системе, привычках, контактах затем отсылается на серверы злоумышленников через порты 80 и 443.

Пользователю периодически приходится отбиваться от запросов на предоставление информации и заполнение анкет, которые зловред генерирует в форме диалогового окна. По истечении определенного времени зараженный компьютер начинает сбоить. В довершение всех бед троянец автоматом производит апгрейд — инсталлирует новую версию, которой в Intego присвоили наименование PermissionResearch.

По оценке экспертов, популяция OSX/OpinionSpy пока невелика, но его способ загрузки и зловредный потенциал — хороший повод для того, чтобы лишний раз напомнить владельцам Маков о двух «Б», бдительности и благоразумии, которые нелишне проявлять, скачивая софт из интернета.