Análisis realizado por : Jeanne Jocson   
 Alias

OSX.Backdoor.Quimitchin (Malwarebytes)

 Plataforma:

Linux, MacOSX

 Riesgo general:
 Potencial de destrucción:
 Potencial de distribución:
 Infección divulgada:
 Revelación de la información:
Bajo
Medio
High
Crítico

  • Tipo de malware
    Backdoor

  • Destructivo?
    No

  • Cifrado

  • In the Wild:

  Resumen y descripción

Canal de infección Eliminado por otro tipo de malware, Descargado de Internet

Se conecta a un sitio Web para enviar y recibir información. However, as of this writing, the said sites are inaccessible.

Roba determinada información del sistema y/o del usuario.

  Detalles técnicos

Tamaño del archivo 82,947 bytes
Tipo de archivo Script
Residente en memoria
Fecha de recepción de las muestras iniciales 19 Jan 2017
Carga útil Steals information, Connects to URLs/IPs

Instalación

Infiltra y ejecuta los archivos siguientes:

  • /tmp/proxy←detected by Trend Micro as PERL_QUIMITCHIN.A
  • /tmp/cr←detected by Trend Micro as OSX_QUIMITCHIN.A
  • /tmp/client.class←detected by Trend Micro as JAVA_QUIMITCHIN.A

Rutina de puerta trasera

Se conecta a los sitios Web siguientes para enviar y recibir información:

  • eidk.{BLOCKED}o.org

However, as of this writing, the said sites are inaccessible.

Robo de información

Roba la siguiente información:

  • System's hostname
  • Local hostname
  • Username

Otros detalles

Según el análisis de los códigos, tiene las siguientes capacidades:

  • take screenshots using "xwd" commang and save it to:
    • /tmp/scrn.png
  • get system's uptime

  Soluciones

Motor de exploración mínimo 9.850
Primer archivo de patrones de VSAPI 13.168.02
Primera fecha de publicación de patrones de VSAPI 19 de enero de 2017
Versión de patrones OPR de VSAPI 13.169.00
Fecha de publicación de patrones OPR de VSAPI 20 de enero de 2017
Rellene nuestra encuesta!