苹果OS X分布式广告木马分析

网站建设评论41

今天Dr.Web公司发布了一篇有关《苹果OS X分布式广告木马的简短分析》,虽然对该木马进行了一些分析,但是具体的细节并没有公布出来。在这里我们将为大家提供更多的信息。另外如果你想自己在家里好好的玩这个木马的话,可以在文尾下载样本文件。

技术分析

Dr. Web的文章中提到了一个广告分发软件的安装程序,具体的来说应该是伪装成一个有用的应用程序或者是mp3文件,然而其文章中并没有直接提到搭载恶意安装程序的网站!我在其文章中截图内找到了一个URL: listentoyoutube.com,接着与该站点进行交互,该网站提供youtube视频音乐等下载服务

苹果OS X分布式广告木马分析-开水网络

擅于观察的读者可能会发现这个复选框中的内容(默认勾选),“下载加速器并获取帮助”选项。单击下载按钮就会下载一个.dmg后缀的图像,其命名与mp3文件明相同。执行该文件后用户会被感染,安装多个顽固性广告软件。

文章中提到该图片文件中包含一个“引人注目的结构;其包含有两个隐藏文件夹,如果用户下定决心要看DMG文件中的内容需要使用Finder工具”。其中提到引人注目的IMHO结构并不起眼,这两个文件夹无非就是前缀加上了一个“.”而已,仅仅只是为了不被轻易发现,而使用Finder工具默认是会显示出来的。同样也可以使用终端进行查看:

苹果OS X分布式广告木马分析-开水网络

当加载好.dmg文件之后(双击即可),如下所示:

苹果OS X分布式广告木马分析-开水网络

双击打开<song>_mp3.app,就会执行macLauncher(MD5: 5f1e998e0213364ae44472495a71f123),该二进制只是简单的执行一个名为Downloader的应用程序,该程序位于隐藏的.app文件夹下。有趣的是,这是通过编程调用AppleScript脚本:

苹果OS X分布式广告木马分析-开水网络

正如其名,“Downloader”是一个用来下载(安装)其他软件的应用程序。在二进制字符串中暴露了其名称“macInstaller”,版本“1.7.12-d”以及MD5值“a6a23e7815d08a596da37e38b466e7a2”。

执行期间,该软件使用顽固广告软件感染系统,在本文中暂不分析这些顽固广告软件。经过一阵的分析,其包含有一个Genieo变种。

该广告软件会引起各种意外或者恶意行为。比如,以不同的方式通过恶意浏览器扩展进行浏览器劫持。了解更多这些恶意扩展可以访问KnockKnock

苹果OS X分布式广告木马分析-开水网络

Genieo正努力的尝试作为一个LaunchAgent保持其顽固性,还好BlockBlock能够进行拦截

苹果OS X分布式广告木马分析-开水网络

在VirusTotal中暂时还没有该Genieo变种的版本号[VirusTotal详细信息],Dr. Web以及其他杀毒引擎并未发现该恶意软件的存在。

苹果OS X分布式广告木马分析-开水网络

样本下载

链接:http://pan.baidu.com/s/1eQyEjzc 密码:oswx[解压密码:freebuf.com]

 

 
建立静态入口 网站建设

建立静态入口

对一些重要的、内容相对固定的页面制作为静态网页,如包含有丰富关键词的网站介绍、用户帮助,以及含有重要页面链接的网站地图等。网站首页尽量全部采用静态形式,并将重要动态内容以文本链接方式全部呈现,虽然增加...
网站建设

鑫合汇招聘安全人才

鑫合汇(www.xinhehui.com)是以P2B(个人到企业或机构)为模式的新型互联网投融平台,为各类个人、机构及企业投资者提供安全、便捷、高收益的投资及理财产品,为企业及个人提供直接融资服务,为...
网站建设

可绕过WAF的Burp Suite插件 – BypassWAF

我们在渗透测试有时遇到WAF(应用层防火墙),这往往令人头疼。Burp Suite是响当当的web应用程序渗透测试集成平台,而这款插件可以帮助你绕过某些WAF。使用步骤增加Burp扩展启用Bypass...
网站建设

利用Pafish侦测虚拟环境

1 引言当前的病毒分析主要分为静态分析和动态分析。 静态分析并不执行病毒样本,而是用W32Dasm等反汇编工具将病毒样本文件反汇编后,用逆向技术对其汇编代码进行分析。然而病毒作者可以使用花指令,加壳脱...
匿名

发表评论

匿名网友
:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: