Универсальная JAVA или как заражают пользователей MAC OS

Определение ОС компьютера пользователя и выдача ему соответствующего контента сегодня уже не диковинка интернет-технологий. Этим механизмом давно пользуются и вирусописатели. Но платформа Apple MAC OS в этом механизме используется довольно редко. Тем интереснее был обнаруженный нами Java-даунлоадер, который загружал в систему зловредов в зависимости от ОС зараженного компьютера.

Часть кода Trojan-Downloader.Java.OpenConnection.fa, определяющего ОС компьютера жертвы

Trojan-Downloader.Java.OpenConnection.fa был обнаружен «Лабораторией Касперского» 15 февраля. Как уже было сказано выше, троянец определяет ОС на зараженном компьютере.

Если на компьютере стоит Windows, происходит загрузка Trojan-Dropper.Win32.Agent.gjtw, который несет в себе Trojan-Downloader.Win32.Agent.ujhb.

Во всех случаях, отличных от Windows, в систему загружается PYTHON скрипт. Данный скрипт «Лаборатория Касперского» детектирует как Trojan-Dropper.Python.Flasfa.a.

Этот дроппер несет два других скрипта, которые записывает в систему:

Часть скрипта №1

Часть скрипта №2

Запись обоих скриптов на MAC OS и запуск скрипта №2

Как видно на последнем скриншоте, работа скрипта-дроппера выполняется только на одной платформе — MAC OS. В случае LINUX, скрипт завершает свою работу.

Помимо записи объектов в систему, дроппер прописывает скрипт №1 в автозапуск в plist-файл. При этом записывается файл с содержимым:

Содержимое файла автозапуска

После этого дроппер запускает скрипт №2 (он записывается в систему под именем update.py).

Основной скрипт в данной цепочке — скрипт № 2 — является HTTP-бэкдором и детектируется «Лабораторией Касперского» как Backdoor.Python.Aharm.a. Aharm.a с определенной частотой посылает запросы серверу злоумышленников и ждет команды от своего хозяина. Как только команда поступает, он выполняет ее на зараженной машине.

Часть кода зловреда, отвечающего за выполнение команд на зараженной MAC OS

Исходная версия бэкдора распространяется как приложение с отрытым исходным кодом, и его может скачать и переделать под себя кто угодно:

Часть исходного кода вредоносной программы Backdoor.Python.Aharm.a на Google Code

Каким же образом попадает на компьютер Java-даунлоадер? Судя по всему, для заражения используется Drive-by атака.

Любопытно, что после срабатывания Java-эксплойта и незаметной загрузки на компьютер Trojan-Downloader.Java.OpenConnection.fa, параллельно с загрузкой дроппера даунлоадер открывает страницу с видеороликом:

Часть кода Trojan-Downloader.Java.OpenConnection.fa, отвечающая за загрузку страницы с видеороликом

Страница с видеороликом, открывающаяся по время загрузки Trojan-Dropper.Python.Flasfa.a

Количество просмотров этого видеоролика — 2501 —дает нам представление о количестве пользователей, которые могли пострадать в ходе этой атаки.