苹果OS X分布式广告木马分析

网站建设评论69

今天Dr.Web公司发布了一篇有关《苹果OS X分布式广告木马的简短分析》,虽然对该木马进行了一些分析,但是具体的细节并没有公布出来。在这里我们将为大家提供更多的信息。另外如果你想自己在家里好好的玩这个木马的话,可以在文尾下载样本文件。

技术分析

Dr. Web的文章中提到了一个广告分发软件的安装程序,具体的来说应该是伪装成一个有用的应用程序或者是mp3文件,然而其文章中并没有直接提到搭载恶意安装程序的网站!我在其文章中截图内找到了一个URL: listentoyoutube.com,接着与该站点进行交互,该网站提供youtube视频音乐等下载服务

苹果OS X分布式广告木马分析-开水网络

擅于观察的读者可能会发现这个复选框中的内容(默认勾选),“下载加速器并获取帮助”选项。单击下载按钮就会下载一个.dmg后缀的图像,其命名与mp3文件明相同。执行该文件后用户会被感染,安装多个顽固性广告软件。

文章中提到该图片文件中包含一个“引人注目的结构;其包含有两个隐藏文件夹,如果用户下定决心要看DMG文件中的内容需要使用Finder工具”。其中提到引人注目的IMHO结构并不起眼,这两个文件夹无非就是前缀加上了一个“.”而已,仅仅只是为了不被轻易发现,而使用Finder工具默认是会显示出来的。同样也可以使用终端进行查看:

苹果OS X分布式广告木马分析-开水网络

当加载好.dmg文件之后(双击即可),如下所示:

苹果OS X分布式广告木马分析-开水网络

双击打开<song>_mp3.app,就会执行macLauncher(MD5: 5f1e998e0213364ae44472495a71f123),该二进制只是简单的执行一个名为Downloader的应用程序,该程序位于隐藏的.app文件夹下。有趣的是,这是通过编程调用AppleScript脚本:

苹果OS X分布式广告木马分析-开水网络

正如其名,“Downloader”是一个用来下载(安装)其他软件的应用程序。在二进制字符串中暴露了其名称“macInstaller”,版本“1.7.12-d”以及MD5值“a6a23e7815d08a596da37e38b466e7a2”。

执行期间,该软件使用顽固广告软件感染系统,在本文中暂不分析这些顽固广告软件。经过一阵的分析,其包含有一个Genieo变种。

该广告软件会引起各种意外或者恶意行为。比如,以不同的方式通过恶意浏览器扩展进行浏览器劫持。了解更多这些恶意扩展可以访问KnockKnock

苹果OS X分布式广告木马分析-开水网络

Genieo正努力的尝试作为一个LaunchAgent保持其顽固性,还好BlockBlock能够进行拦截

苹果OS X分布式广告木马分析-开水网络

在VirusTotal中暂时还没有该Genieo变种的版本号[VirusTotal详细信息],Dr. Web以及其他杀毒引擎并未发现该恶意软件的存在。

苹果OS X分布式广告木马分析-开水网络

样本下载

链接:http://pan.baidu.com/s/1eQyEjzc 密码:oswx[解压密码:freebuf.com]

 

 
游戏网站建设技巧 网站建设

游戏网站建设技巧

要做到这样,你可以在网站上加入游戏故事背景页面。对于那些不熟悉游戏故事背景的人,看到这样的页面肯定会有所感兴趣,想要了解一番。当他们觉得故事背景很棒的时候,也就是觉得你的游戏很棒了。风格设计游戏网站的...
网站建设

co 函数库的含义和用法

进入正文之前,先插播一条消息。我七年前翻译的《软件随想录》再版了(京东链接)。这次是《Joel论软件》两卷同时再版,第一卷是新译本,第二卷是我翻译的。本书的作者是著名程序员、StackOverflow...
匿名

发表评论

匿名网友
:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: