Компания «Доктор Веб» сообщила о появлении новой троянской программы для операционной системы Mac OS X. Данное приложение обладает функционалом бэкдора и способно выполнять различные команды, поступающие от принадлежащего злоумышленникам удаленного сервера. Еще в конце июня был получен образец почтового сообщения, содержащего в качестве вложения вредоносную программу для операционной системы Mac OS X. Данное почтовое сообщение написано на уйгурском языке и содержит вложенный zip-архив с именем "matiriyal.zip". В свою очередь, внутри архива находятся два файла: графическое изображение и вредоносная программа "matiriyal.app", имеющая иконку PDF-документа. Это приложение, способное работать на Apple-совместимых компьютерах как архитектуры PowerPC, так и x86, было добавлено в вирусные базы под названием BackDoor.Macontrol.2. Если в операционной системе отключено отображение расширений известных типов файлов, пользователь может попытаться открыть «документ», запустив тем самым трояна на исполнение. Наибольшую опасность BackDoor.Macontrol.2 представляет для обладателей Apple-совместимых компьютеров, работающих под управлением ОС Snow Leopard, поскольку в ней возможна запись в системную папку "Library" из-под учетной записи пользователя (в ОС Lion такая возможность отсутствует). Запустившись в инфицированной системе, BackDoor.Macontrol.2 копирует себя в файл "/Library/launched", а затем создает конфигурационный файл "~/Library/LaunchAgents/com.apple.FolderActionsxl.plist" для запуска бэкдора при запуске системы. После этого троян отправляет на удаленный управляющий сервер данные об инфицированном компьютере, включая версию операционной системы, имя компьютера и учетной записи пользователя, сведения об объеме оперативной памяти, после чего переходит в режим ожидания команд. Среди директив, которые способен выполнять бэкдор, — команда выключения компьютера, отправки на удаленный сервер файлов, запуска оболочки "/bin/sh" и некоторые другие. Антивирусные эксперты рекомендуют пользователям относиться с осторожностью к сообщениям с вложениями, полученным по электронной почте от незнакомых отправителей и незнакомых языках.
Источник