OSX_MOKES.A
Publish Date: 12 septembre 2016
MacOS:Ekoms-A [Trj] (Avast), OSX/Mokes.A (AVG), OSX/Mokes.odci (Avira), Backdoor.MAC.Mokes.A (BitDefender), OSX/Mokes.A (NOD32), Backdoor.MAC.Mokes.A (F-Secure), HEUR:Backdoor.OSX.Mokes.a (Kaspersky), OSX/Mokes-A (Sophos), Backdoor.Mokes (Symantec)
Plate-forme:
Mac OS X
Overall Risk:
Dommages potentiels: :
Distribution potentielle: :
reportedInfection:
Information Exposure Rating::
Faible
Medium
Élevé
Critique
Type de grayware:
Backdoor
Destructif:
Non
Chiffrement:
Non
In the wild::
Oui
Overview
Voie d'infection: Aus dem Internet heruntergeladen, Fallen gelassen von anderer Malware
Um einen Überblick über das Verhalten dieser Backdoor zu erhalten, verwenden Sie das unten gezeigte Bedrohungsdiagramm.
![](https://documents.trendmicro.com/images/TE/OSX_MOKES_A.jpg)
Führt Befehle eines externen, böswilligen Benutzers aus, wodurch das betroffene System gefährdet wird.
Détails techniques
File size: 14,371,256 bytes
File type: Mach-O
Memory resident: Oui
Date de réception des premiers échantillons: 08 septembre 2016
Charge malveillante: Connects to URLs/IPs, Compromises system security
Autostart-Technik
Schleust die folgenden Dateien ein:
- /Users/{Username}/Library/LaunchAgents/{Dropped Copy filename}.plist
Backdoor-Routine
Führt die folgenden Befehle eines externen, böswilligen Benutzers aus:
- Record Audio every 30 seconds
- Monitor Removable Drives
- Take screenshots and images from installed camera
- Search and Download MS Office documents (doc, docx, xls, xlsx)
Einschleusungsroutine
Schleust die folgenden Dateien ein, in denen die gesammelten Daten gespeichert werden:
- $TMPDIR/ss0-{Date}-{Time}-{ms}.sst (Captured Screenshots)
- $TMPDIR/aa0-{Date}-{Time}-{ms}.aat (Captured Audio, WAV)
- $TMPDIR/kk0-{Date}-{Time}-{ms}.kkt (Keylogs)
- $TMPDIR/dd0-{Date}-{Time}-{ms}.ddt (Arbitrary Data)
Solutions
Moteur de scan minimum: 9.800
First VSAPI Pattern File: 12.764.08
First VSAPI Pattern Release Date: 08 septembre 2016
VSAPI OPR Pattern Version: 12.765.00
VSAPI OPR Pattern Release Date: 09 septembre 2016