Author: Christopher Daniel So   

 

MAC.OSX.Trojan.Lamadai.B (FSecure)

 PLATFORM:

Mac OS X

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
Low
Medium
High
Critical

  • Threat Type:
    Backdoor

  • Destructiveness:
    No

  • Encrypted:
    No

  • In the wild::
    Yes

  OVERVIEW

INFECTION CHANNEL: Eliminado por otro tipo de malware

Puede haberlo infiltrado otro malware.

Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado. Se conecta a un sitio Web para enviar y recibir información.

  TECHNICAL DETAILS

File size: 46,120 bytes
File type: Mach-O
Memory resident: Yes
INITIAL SAMPLES RECEIVED DATE: 29 марта 2012

Detalles de entrada

Puede haberlo infiltrado el malware siguiente:

  • TROJ_MDROPR.LB

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

  • /Applications/Automator.app/Contents/MacOS/DockLight

Técnica de inicio automático

Infiltra los archivos siguientes:

  • /Library/LaunchAgents/com.apple.DockActions.plist

Rutina de puerta trasera

Ejecuta los comandos siguientes desde un usuario remoto malicioso:

  • 1 - upload a file to the C&C server
  • 2 - download a file from the C&C server
  • 3 - execute a command using /bin/sh

Se conecta a los sitios Web siguientes para enviar y recibir información:

  • 2012.{BLOCKED}ip.net:8080

  SOLUTION

Minimum scan engine: 9.200
First VSAPI Pattern File: 8.870.06
First VSAPI Pattern Release Date: 29 de марта de 2012
VSAPI OPR PATTERN-VERSION: 8.871.00
VSAPI OPR PATTERN DATE: 29 de марта de 2012
Did this description help? Tell us how we did.