F-Secure, zararlının .pdf.exe uzantısına sahip olduğunu (yani aslında bir uygulama olduğunu) ve PDF simgesiyle kullanıcıyı kandırmaya çalıştığını söylüyor. "Çift uzantı" tekniği ile bir uygulama dosyasının asıl uzantısını gizlemek, bir nevi mümkün olabiliyor. Mac zararlısı, iki aşamalı olarak çalışıyor. Trojan "dropper" öğesi, ikinci öğe olan "backdoor" öğesini yüklüyor. Ardından saldırgan tarafından yönetilen bir sunucuya bağlanıyor.
Zararlı, Mac OS X'deki bir açığı kullanmadığından, kullanıcıları dosyanın masum bir PDF belgesi olduğuna ikna etmeye çalışıyor. Zararlı çalıştırıldığında, ikinci arka kapıyı yükleyerek Çince bir PDF dosyası açıyor. F-Secure, zararlının bu sayede dikkati gerçekleştirdiği diğer etkinliklerden başka yere çekmeye çalıştığını söylüyor.
Sophos ve F-Secure, zararlının şu an düzgün olarak çalışamadığını ve komut-ve-denetim sunucusuna bağlanamadığını (sunucu çalışmadığından) bildiriyor.
chip
Hiç yorum yok:
Yorum Gönder