Si chiama OSX/Crisis l’ultima minaccia per gli utenti Mac. Il cavallo di troia è stato scoperto e presentato nel corso della giornata di oggi da Intego che ne descrive in sintesi le caratteristiche.
OSX/Crisis è un dropper, un malware contenuto in un’altra applicazione che si occupa di installarlo all’insaputa dell’utente; questo particolare tipo di software maligno non si è mai visto nel mondo Mac, ma è piuttosto comune su Windows. Altra particolarità: è costruito in maniera da rendere molto difficile il reverse engineering e analizzare il file. Anche questa specificità è nota nel mondo Win, ma è relativamente poco comune nel mondo Mac.
Intego spiega che se viene installato su un sistema con permessi di amministrazione, si nasconde dietro ad un rootkit; in ogni caso crea un certo numero di file e di cartelle per portare a termine il suo compito
In particolare sia in modalità admin che utente install questo file: Library/ScriptingAdditions/appleHID/Contents/Resources/appleOsax.r;
Se gira in un sistema admin crea: /System/Library/Frameworks/Foundation.framework/XPCServices/com.apple.mdworker_server.xpc/Contents/MacOS/com.apple.mdworker_server oppure /System/Library/Frameworks/Foundation.framework/XPCServices/com.apple.mdworker_server.xpc/Contents/Resources/
Oltre a questo apre una backdoor che chiama casa sull’indirizzo IP 176.58.100.37 ogni 5 minuti.
OSX/Crisis non è mai stato trovato libero su Internet, ma solo sul sito VirusTotal, una pagina Internet usata dalle aziende di sicurezza per scambiarsi campioni di malware. Per ora quindi la sua pericolosità deve essere considerata bassa. Gli strumenti offerti da Intego tra cui Virus Barrier Express (gratis) con definizione al 24 luglio individuano il cavallo di troia; per avere però la scansione automatica si deve acquistare Virrus Barrier X6
