RSPlug.E - новая разновидность трояна для Mac

[четверг, 4 декабря 2008 г, 09:46]

Компания Intego, специализирующаяся на антивирусном программном обеспечении, сообщила, что для в сети найдена третья версия трояна RSPlug под Mac OS X. После появления версии RSPlug.D, Intego обнаружила другую вариацию - RSPlug.E. Новый троян очень похож по своим особенностям на RSPlug.D, главным образом он живет на сомнительных порнографических сайтах. Троян оснащен веб-клиентом, который устанавливает файлы на заражаемый компьютер с удаленного сервера.

Новая разновидность трояна для Mac

При заходе на зараженный сайт будет отображено сообщение об ошибке "Video ActiveX Object Error" с предложением загрузить недостающий плагин, который на самом деле является образом диска. Образ диска может монтироваться и устанавливаться автоматически, если настройки браузера пользователя это позволяют.

Intego обнаружила интересные особенности RSPlug.E, отличающие его от предыдущих версий трояна. Он сначала загружает на компьютер файлы FlashPlayer.v3.348.dmg и FlashPlayer.v..dmg с основным зашифрованным вредоносным кодом, среди прочего содержащим строку "begin 666 intego". Затем троян пытается обойти систему распределения прав доступа Unix и создать на диске пользователя вредоносный файл с названием intego, что, естественно, воспринимается компанией Intego как провокация.