Analysé par: Jeanne Jocson   
 

OSX.Backdoor.Quimitchin (Malwarebytes)

 Plate-forme:

Linux, MacOSX

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
 Information Exposure Rating::
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Backdoor

  • Destructif:
    Non

  • Chiffrement:
    Oui

  • In the wild::
    Oui

  Overview

Voie d'infection: Fallen gelassen von anderer Malware, Aus dem Internet heruntergeladen

Verbindet sich mit einer Website, um Daten zu versenden und zu empfangen. However, as of this writing, the said sites are inaccessible.

Stiehlt bestimmte Daten vom System und/oder dem Benutzer.

  Détails techniques

File size: 82,947 bytes
File type: Script
Memory resident: Oui
Date de réception des premiers échantillons: 19 janvier 2017
Charge malveillante: Steals information, Connects to URLs/IPs

Installation

Schleust die folgenden Dateien ein und führt sie aus:

  • /tmp/proxy←detected by Trend Micro as PERL_QUIMITCHIN.A
  • /tmp/cr←detected by Trend Micro as OSX_QUIMITCHIN.A
  • /tmp/client.class←detected by Trend Micro as JAVA_QUIMITCHIN.A

Backdoor-Routine

Verbindet sich mit den folgenden Websites, um Daten zu versenden und zu empfangen.

  • eidk.{BLOCKED}o.org

However, as of this writing, the said sites are inaccessible.

Datendiebstahl

Stiehlt folgende Daten:

  • System's hostname
  • Local hostname
  • Username

Andere Details

Ausgehend von der Analyse des Codes verfügt die Malware über die folgenden Fähigkeiten:

  • take screenshots using "xwd" commang and save it to:
    • /tmp/scrn.png
  • get system's uptime

  Solutions

Moteur de scan minimum: 9.850
First VSAPI Pattern File: 13.168.02
First VSAPI Pattern Release Date: 19 janvier 2017
VSAPI OPR Pattern Version: 13.169.00
VSAPI OPR Pattern Release Date: 20 janvier 2017
Participez à notre enquête!