Специалисты «Доктор Веб» обнаружили модификацию Flashback
Специалисты по информационной безопасности из компании «Доктор Веб» обнаружили новую модификацию вредоноса BackDoor.Flashback. Основным отличием новой версии трояна является реализованная возможность встраивания вредоносных модулей в различные процессы. Как поясняют эксперты, злоумышленники реализовали механизм двумя методами: BackDoor.Flashback.8 проверяет, присутствуют ли в целевом процессе экспортированные функции из модуля dyld, и, в случае их отсутствия, ищет необходимые функции в памяти.
Как и в предыдущих версиях вируса, основным модулем BackDoor.Flashback является бэкдор, который может выполнять команды, поступающие с удаленных серверов злоумышленников, либо хранящиеся в конфигурационном файле. В дополнительный функционал трояна вошел механизм проверки первичных управляющих серверов. Flashback выбирает тот сервер, который возвращает подписанный цифровой подписью SHA1 от собственного имени. Кроме того, троян может использовать в качестве резервного канала сообщения в социальной сети Twitter.
Специалисты также отметили, что, как и прежде, вирус маскируется под пакет установки Adobe Flash Player и рассчитан исключительно на пользователей Mac OS X. Жертве предлагается загрузить и установить архив с файлом FlashPlayer-11-macos.pkg, который после запуска пытается скачать с удаленного сервера основной модуль Flashback. В случае если пользователь не работает с Mac OS X, загрузка архива не выполняется. Кроме того, установщик прекращает работу, если не удается связаться с управляющим сервером.
Специалисты рекомендуют пользователям Mac OS X отключить в настройках браузера функцию автоматического открытия загруженных файлов. Кроме того, не стоит скачивать обновления для Flash-проигрывателя со сторонних ресурсов.