Специалисты компании «Доктор Веб» провели исследование новой версии троянца для Mac OS X, получившего наименование Mac.BackDoor.OpinionSpy.3. Семейство троянцев Mac.BackDoor.OpinionSpy известно еще с 2010 года, однако недавно в лабораторию «Доктор Веб» попал новый экземпляр данной программы, говорится на сайте антивирусной компании.
Для своего распространения Mac.BackDoor.OpinionSpy.3 использует трехступенчатую схему. На различных сайтах, предлагающих всевозможное ПО для Mac OS X, появляются с виду безобидные программы, в составе дистрибутивов которых, тем не менее, присутствует файл poinstall, запускаемый инсталлятором в процессе установки.
Если во время инсталляции загруженного с такого сайта приложения пользователь соглашается предоставить ему права администратора, poinstall отправляет на сервер злоумышленников серию POST-запросов, а в ответ получает ссылку для скачивания пакета с расширением .osa, внутри которого располагается ZIP-архив.
Рoinstall распаковывает этот архив, извлекая исполняемый файл с именем PremierOpinion и XML-файл с необходимыми для его работы конфигурационными данными, после чего запускает эту программу.
Начать дискуссию