Троян OSX/OpinionSpy — новый опасный зловред для Mac OS

Специалисты Intego предупреждают о появлении нового опасного трояна для Mac OS, который распространяется на различных сайтах вместе с популярными приложениями и хранители экранов (screensaver).

Троян OSX/OpinionSpy, проникает на компьютер пользователя в процессе инсталляции легитимных продуктов, которые можно скачать на таких веб-сайтах, как MacUpdate, VersionTracker и Softpedia. Иногда он замаскирован под «исследовательскую программу», навязываемую вместе с легальным ПО как средство изучения пользовательского спроса.

Как показал анализ, троян OSX/OpinionSpy является модификацией вредоносной программе, созданной для Windows-платформ еще в 2008 году. Его функционал, как и стоило ожидать, значительно шире объема задач, предусмотренных обычным маркетинговым исследованием, и позволяет классифицировать его как умелого шпиона.

OSX/OpinionSpy лишен интерфейса и работает с root-привилегиями (при инсталляции запрашивает пароль администратора). Его легального собрата по загрузке можно удалить, но троянского лазутчика такая деинсталляция не затронет, и он останется хозяйничать в системе. Если по каким-либо причинам исполнение OSX/OpinionSpy приостановлено, он возобновляет работу, используя механизм автозапуска launchd.

Троян открывает http-бэкдор на порту 8254, сканирует доступное дисковое пространство, анализирует файлы, не стесняясь под завязку загрузить процессор. Анализу подвергаются также все пакеты, передаваемые по локальной сети, что позволяет шпиону собрать информацию о всех подключенных к ней компьютерах. Троян OSX/OpinionSpy внедряет свой код в Safari, Firefox и iChat в процессе их работы и копирует все данные, которые сочтет полезными. Собранная информация о пользователе, его системе, привычках, контактах затем отсылается на удалённые сервера злоумышленников через порты 80 и 443.

Пользователю периодически приходится отбиваться от запросов на предоставление информации и заполнение анкет, которые троян генерирует в форме диалогового окна. По истечении определенного времени зараженный компьютер начинает сбоить. В довершение всех бед троянец автоматом производит апгрейд — инсталлирует новую версию, которой в Intego присвоили наименование PermissionResearch.

По оценке экспертов, популяция трояна OSX/OpinionSpy пока невелика, но его способ загрузки и зловредный потенциал — хороший повод для того, чтобы лишний раз напомнить владельцам Маков о двух «Б», бдительности и благоразумии, которые нелишне проявлять, скачивая софт из интернета.