OSX_IMULER.C
Publish date: 09 de octubre de 2012
Alias
Backdoor:OSX/Imuler.A (FSecure)
Plataforma:
Mac OS X
Riesgo general:
Potencial de destrucción:
Potencial de distribución:
Infección divulgada:
Bajo
Medio
High
Crítico
Tipo de malware
Backdoor
Destructivo?
No
Cifrado
No
In the Wild:
Sí
Resumen y descripción
Canal de infección Eliminado por otro tipo de malware
Puede haberlo infiltrado otro malware.
Ejecuta determinados comandos que recibe de forma remota desde un usuario malicioso. De esta forma pone en gran peligro el equipo afectado y la información del mismo.
Detalles técnicos
Tamaño del archivo 104,712 bytes
Tipo de archivo Mach-O
Residente en memoria Sí
Fecha de recepción de las muestras iniciales 21 marzo 2012
Carga útil Connects to URLs/IPs
Detalles de entrada
Puede haberlo infiltrado el malware siguiente:
- OSX_IMULER.B
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado:
- /Users/{user name}/Library/LaunchAgents/checkvir
Técnica de inicio automático
Infiltra los archivos siguientes:
- /Users/{user name}/Library/LaunchAgents/checkvir.plist
Rutina de puerta trasera
Ejecuta los comandos siguientes desde un usuario remoto malicioso:
- Take a screen shot
- Update the C&C server name
- List the contents of a folder and save it as /tmp/launch-0rp.dat. Then upload the file /tmp/launch-0rp.dat.
- Get the file size of a file
- Download a file from a URL
- Execute a command via the shell
- Delete a file
- Download a file and save it as /tmp/xntaskz.gz. Decompress the downloaded file to /tmp/xntaskz. Execute the following command:
/tmp/CurlUpload -f /tmp/xntaskz
Rutina de descarga
Accede a los siguientes sitios Web para descargar archivos:
- http://www.{BLOCKED}sbutters.com/CurlUpload
Guarda los archivos que descarga con los nombres siguientes:
- /tmp/CurlUpload
Soluciones
Motor de exploración mínimo 9.200
Primer archivo de patrones de VSAPI 8.866.05
Primera fecha de publicación de patrones de VSAPI 27 de marzo de 2012
Versión de patrones OPR de VSAPI 8.867.00
Fecha de publicación de patrones OPR de VSAPI 27 de marzo de 2012