Ir para conteúdo
  • Cadastre-se
Entre para seguir isso  
TrueTrapper

Novo Trojan para Mac desativa o anti-malware do OS X

Posts Recomendados

Novo Trojan para Mac desativa o anti-malware do OS X

É uma realidade que a utilização do Mac SO X está a crescer e, com isso, o foco para o desenvolvimento de malware sofisticado para esta plataforma ganha outra expressão.

De acordo com a empresa de segurança F-Secure, existe um novo trojan para Mac. O malware em causa tem como designação OSX/Flashback.C e a sua ação prende-se com o desativar das actualizações do sistema de proteção inserido há algum tempo no Mac OS X, o XProtect.

O vírus primeiro decifra os caminhos dos ficheiros XProtectUpdater e descarrega o XProtectUpdater daemon. Depois re-escreve os ficheiros ativos do XProtectUpdater por uns com caracteres em branco e re-escreve também a plist e binário para o XProtectUpdater.

Este processo apaga determinados ficheiros e impede os updates automáticos do XProtect, gerados pela Apple no futuro. Esta acção, como é óbvio, deixa o Mac OS X vulnerável a ataques desenvolvidos no futuro suportados nesta brecha de segurança. Este é um procedimento conhecido noutros sistemas, mas será este o primeiro dedicado a neutralizar o XProtect.

Como resolver o problema?

Desinfeção

Instruções para remoção manual

Faça um scan de todo o sistema e tome nota de todos os ficheiros detectados

Remova as seguintes entradas

<key>LSEnvironment</key><dict><key>DYLD_INSERT_LIBRARIES</key> <string>%path_of_detected_file_from_step_1%</string></dict>

Situam-se aqui:

/Applications/Safari.app/Contents/Info.plist

/Applications/Firefox.app/Contents/Info.plist

Apague todos os ficheiros detectados

O comportamento dos utilizadores deve ser também preventivo e pró-ativo, sabendo de certa forma precaver determinados focos de perigo e evitar comportamentos de risco, tendo em conta que a maior parte desses Trojans chegam até ao utilizador na forma de falsos instaladores do Flash Player.

A Apple ainda não se pronunciou, e espera-se em breve uma actualização do sistema para aniquilar esta tentativa de intrusão nos sistemas de protecção Mac OS X.

Fonte: pplware

Trojan-Downloader: OSX / Flashback.C

Nomes de detecção:Trojan-Downloader: OSX / Flashback.C

Categoria:MalwareTipo:Trojan-DownloaderPlataforma:OS X

Sumário

Trojan-Downloader: OSX / Flashback.C coloca como um instalador do Flash Player e se conecta a um host remoto para obter os arquivos de instalação e configurações adicionais.

Desinfeção

Manual de Instruções da remoção de

Digitalizar todo o sistema e tomar nota dos arquivos detectados

Remova a entrada

<key>LSEnvironment</key><dict><key>DYLD_INSERT_LIBRARIES</key>

<string>%path_of_detected_file_from_step_1%</string></dict>

From:

/Applications/Safari.app/Contents/Info.plist

/Applications/Firefox.app/Contents/Info.plist

Delete all detected files

Additional Details

Trojan-Downloader:OSX/Flashback.C poses as a Flash Player installer and connects to a remote host to obtain further installation files and configurations.

Redimensionado em 97% (624 x 445) - Clique para ampliar

Screenshot of the Trojan-Downloader:OSX/Flashback.C installer.

To complete its installation/infection, Flashback.C requires the user to key in the administrator password.

On installation, the installer first checks if the following file is found in the system:

/Library/Little Snitch/lsd

Little Snitch is a firewall program for Mac OS X. If the program is found, the installer will skip the rest of its routine and proceed to delete itself.

If the trojan is cleared to proceed, it connects to a remote host, identified as http://[...]93.114.43.31/counter/%encoded_strings%, with the decoded string following this format:

%Hardware_UUID% | %machine_architecture% | %kernel_version% | %encoded_md5%

The %encoded_md5% is the hash of the following:

%hardware_UUID%Jiangxi

As of this writing, the remote host is up but it does not push anything.

Payload

Installation files and configuration returned by the host is encrypted using RC4, where the MD5 hash of the Hardware UUID of the infected system is used as the key. The decrypted content follows this format:

%encoded_payload_filename% | %encoded_payload_content%

The installer drop copies of the payload to the following locations:

/Applications/Safari.app/Contents/Resources/%payload_filename%

/Applications/Firefox.app/Contents/Resources/%payload_filename%

A DYLD_INSERT_LIBRARIES environment variable is also added to the targeted browsers as launch point. This is done by inserting a LSEnvironment entry to the corresponding Info.plist of the browsers.

Example:

The following line is inserted into "/Applications/Safari.app/Contents/Info.plist":

<key>LSEnvironment</key><dict><key>DYLD_INSERT_LIBRARIES</key>

<string>/Applications/Safari.app/Contents/Resources/%payload_filename%</string></dict>

The following line is inserted to "/Applications/Firefox.app/Contents/Info.plist":

<key>LSEnvironment</key><dict><key>DYLD_INSERT_LIBRARIES</key>

<string>/Applications/Firefox.app/Contents/Resources/%payload_filename%</string></dict>

The installer then restarts running instances of Safari and Firefox in order to take the payload into effect.

The installer also disables the built-in anti-malware feature in Mac OS X. It unloads the XProtectUpdater daemon, and then wipes out the following files:

/System/Library/LaunchDaemons/com.apple.xprotectupdater.plist

/usr/libexec/XProtectUpdater

Compartilhar este post


Link para o post
Compartilhar em outros sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Visitante
Responder este tópico…

×   Você colou conteúdo com formatação.   Remover formatação

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Limpar editor

×   You cannot paste images directly. Upload or insert images from URL.

Entre para seguir isso  

  • Quem Está Navegando   0 membros estão online

    Nenhum usuário registrado visualizando esta página.



  • Conteúdo Similar

    • Por Maicon Fernandes
      Então é o seguinte, tenho um Watch S3 faz uns meses, depois de 2 meses de uso ele começou a apresentar umas atividades atípicas, touch não responde direito, quando ergo o braço a notificação fica descendo e subindo pela metade e o mesmo acontece quando puxo o dedo de baixo pra cima, bloqueia sozinho e ai quando tendo digitar a senha a tela as vezes trava ou o número faz a pressão mas não digita, quando abro pra tela dos apps eles se mexem sozinhos.. tá bem chato de mexer, as vezes dá um ódio hasuahs, alguém tem ideia do que realmente pode ser? pesquisei rápido no Google e só ache referente a toque fantasma...
    • Por CrBrant
      Vendo sleeve/capa/case de couro, original da Apple, para iPad Pro de 10,5”, iPad Pro 2018 de 11” e iPad Air 3, lançado em 2019.
      VALOR: R$300,00
      Muito pouco uso, em perfeito estado de conservação, como se tivesse acabado de sair da loja!
      Produto de excelente qualidade, em couro legítimo, original da Apple.
      Segue na caixa original.
      LINK DO ANÚNCIO NO MERCADO LIVRE,  COM FOTOS:

      https://produto.mercadolivre.com.br/MLB-1252731062-sleevecapacase-de-couro-original-da-apple-para-ipad-pro-_JM
       
      Motivo da venda: vendi meu iPad Pro e alguns acessórios sobraram.
    • Por Douglasgs
      Fala galera.
      Recentemente adquiri os novos airpods de segunda geração com a case (wireless). Nos primeiros dias, obviamente, quis testar a novidade que no caso era o carregamento sem fio, e logo notei que tinha um problema muito chato. Toda vez que eu coloco a case em um carregador sem fio, notei que ele para de carregar através do LED indicador do carregador. Eu sei que a case dos Airpods tem um LED tb, que fica acesso logo que vc coloca pra carregar por 8 segundos. Já testei com outros carregadores sem fio e nada, inclusive já levei na própria Apple e eles me deram uma case nova, porém o problema persiste. A case chega a ficar quente mas é totalmente instável o carregamento. Esses mesmos carregadores funciona normalmente com o meu iPhone e o iPhone de minha esposa. Alguém mais com esse problema ou que tenha passador por esse mesmo problema e que tem alguma solução?
    • Por Cláudio Cesar De Mello Xavier Filho
      Tenho um iPhone 5 recentemente qualquer aplicativo que vou baixar da essa mensagem, tentei reinicar o modem de internet, o aparelho/ recadastrar dados da minha conta e trocar por uma outra e fica sempre na mesma mensagem, memória também vi e tenho suficiente, pesquisando em grupos de tecnologia no Facebook e relatos no Twitter, maioria dos iPhone 5 e 5c estão com esse problema ao entrar em contato com a apple um usuario relatou que ela falou que era problema no sistema isso na sexta, e ate agora esta nisso, como resolvir isso? Tenho um iPhone 5 recentemente qualquer aplicativo que vou baixar da essa mensagem, tentei reinicar o modem de internet, o aparelho/ recadastrar dados da minha conta e trocar por uma outra e fica sempre na mesma mensagem, memória também vi e tenho suficiente, pesquisando em grupos de tecnologia no Facebook e relatos no Twitter, maioria dos iPhone 5 e 5c estão com esse problema ao entrar em contato com a apple um usuario relatou que ela falou que era problema no sistema isso na sexta, e ate agora esta nisso, como resolvir isso?

    • Por kmkztenshi
      Vendo MacBook Pro 13" 2015 | 8GB RAM | 256GB SSD

      Aparelho muito bem cuidado e em estado de novo. Sempre utilizado com capa de proteção e em casa,  portanto não possui nenhum risco, marca de uso, defeito ou avaria. 
      503 ciclos de bateria.

      Acompanha caixa e manuais, case de proteção na cor azul, carregador MagSafe 2 60W original, teclado bluetooth Logitech K380 (com caixa e apenas 1 mês de uso) e case de transporte original da Incase.

      Motivo da venda: Comprei um iMac. 

      Valor: R$5.000,00

      Link do Mercado Livre: https://produto.mercadolivre.com.br/MLB-1240030226-macbook-pro-retina-13-2015-8gb-ram-256gb-ssd-zerado-_JM?quantity=1&variation=37922248319

      Para quem for de São Paulo, a entrega pode ser realizada em algum shopping a combinar. 




















    • Por Giuliano Petroni
      Bom dia pessoal, estou fazendo uma cotação na loja Mônaco (Mac) achei os preços legais em relação à concorrência. Gostaria de saber se alguém do grupo já comprou lá, se é uma compra segura? Desde já agradeço!
    • Por ALAN PEDRO
      Meu MacBook Pro ano 2015 simplesmente desligou do nada e o botão power parou de funcionar...
      Fazendo todos os procedimentos NVRAM, PRAM, SMC, AHT... consegui fazer ele ligar com a bateria desconectada.
      Sinto um cheiro de queimado no botão power e ele aquece um pouco...
      O que pode ocasionar essa queima? O que pode ter queimado?
      Tem como configurar outra tecla para ligar o Macbook, porque estou usando ele com programação para ligar com o carregador ligado.
      Nos testes que fiz, todos os componentes estão normais, não existem nenhum erro no teste AHT... mesmo sendo um teste básico.
      Teclado, entradas com USB, HDMI e até leitor do cartão funciona perfeitamente. Somente não consigo usar a tecla power e o leve cheiro de queimado, fica possível sentir ao cheirar.
      Em uma autorizada da Apple, já me assustaram em ter que trocar todo o Top Case... :( que não é algo barato...
      O que fazer? Não tenho condições de trocar o Top Case e é ferramenta para o meu ganha pão...
      Obrigado.
    • Por jpcampos
      Meu iPhone 7 estava  com 127,4 de 128Gb ocupados e não fiz nenhum backup das ultimas 28.000 mídias aproximadamente, e precisava  atualizar o iOS  para ultima versão, a qual necessitava de 3,15Gb de armazenamento. Ao apagar fotos para liberar espaço elas voltavam instantaneamente então fui reiniciar o aparelho e ficou travado na tela da maçã.  Forcei reinicialização até o modo de restauração aparecer,  fui no iTunes e cliquei em  atualizar, onde a Apple dizia que tentaria reinstalar o iOS sem apagar os dados deu como concluído mas ao solicitar acesso ao celular pelo PC aparecia que não podia ser estabelecido., ou seja não foi reconhecido pelo iTunes.  A senha do meu IDApple estava no dispositivo e não me recordo, e demora muito tempo para eles se quer entrarem em contato. Alguém sabe o que devo fazer?
    • Por Carolina Feital
      Meu Apple Music só reproduz music aleatório, já fiz de tudo (clico somente no reproduzir) mas mesmo assim só reproduz aleatoriamente. Alguém já teve esse problema ? Podem me ajudar? Obrigada
    • Por lucaspessinato
      Boa tarde.
      Estou com um problema a alguns dias, tenho um mac mini que estava sem funcionalidade, decidi fazer um servidor de arquivos. Localmente está funcionando perfeitamente, meu problema foi hora de acessar externamente.
      Tenho IP estático na residencia, liberei a porta 20 e 21, instanciei o serviço FTP no Mac OS Server, criei os usuários. 
      Quando vou acessar o ftp no Windows, digito o endereço de IP, ele pede o usuário e a senha, ele valida, mas aparece um erro de tempo atingido. 
      Vocês tem alguma informação na qual eu possa tentar resolver esse problema ?
      Desde já agradeço,
      Abraços.
  • Estatísticas do Fórum

    • Total de Tópicos
      47.573
    • Total de Posts
      407.829
×
×
  • Criar Novo...