OSX_IMULER.C
Backdoor:OSX/Imuler.A (FSecure)
PLATFORM:
Mac OS X
OVER ALL RISK RATING:
DAMAGE POTENTIAL::
DISTRIBUTION POTENTIAL::
REPORTED INFECTION:
Low
Medium
High
Critical
Threat Type:
Backdoor
Destructiveness:
No
Encrypted:
No
In the wild::
Yes
OVERVIEW
INFECTION CHANNEL: Eliminado por otro tipo de malware
Puede haberlo infiltrado otro malware.
Ejecuta determinados comandos que recibe de forma remota desde un usuario malicioso. De esta forma pone en gran peligro el equipo afectado y la información del mismo.
TECHNICAL DETAILS
File size: 104,712 bytes
File type: Mach-O
Memory resident: Yes
INITIAL SAMPLES RECEIVED DATE: 21 marca 2012
PAYLOAD: Connects to URLs/IPs
Detalles de entrada
Puede haberlo infiltrado el malware siguiente:
- OSX_IMULER.B
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado:
- /Users/{user name}/Library/LaunchAgents/checkvir
Técnica de inicio automático
Infiltra los archivos siguientes:
- /Users/{user name}/Library/LaunchAgents/checkvir.plist
Rutina de puerta trasera
Ejecuta los comandos siguientes desde un usuario remoto malicioso:
- Take a screen shot
- Update the C&C server name
- List the contents of a folder and save it as /tmp/launch-0rp.dat. Then upload the file /tmp/launch-0rp.dat.
- Get the file size of a file
- Download a file from a URL
- Execute a command via the shell
- Delete a file
- Download a file and save it as /tmp/xntaskz.gz. Decompress the downloaded file to /tmp/xntaskz. Execute the following command:
/tmp/CurlUpload -f /tmp/xntaskz
Rutina de descarga
Accede a los siguientes sitios Web para descargar archivos:
- http://www.{BLOCKED}sbutters.com/CurlUpload
Guarda los archivos que descarga con los nombres siguientes:
- /tmp/CurlUpload
SOLUTION
Minimum scan engine: 9.200
First VSAPI Pattern File: 8.866.05
First VSAPI Pattern Release Date: 27 de marca de 2012
VSAPI OPR PATTERN-VERSION: 8.867.00
VSAPI OPR PATTERN DATE: 27 de marca de 2012
