苹果OS X分布式广告木马分析


发布人:admin分类:网络安全浏览量:29发布时间:2017-12-12

今天Dr.Web公司发布了一篇有关《苹果OS X分布式广告木马的简短分析,虽然对该木马进行了一些分析,但是具体的细节并没有公布出来。在这里我们将为大家提供更多的信息。另外如果你想自己在家里好好的玩这个木马的话,可以在文尾下载样本文件。

技术分析

Dr. Web的文章中提到了一个广告分发软件的安装程序,具体的来说应该是伪装成一个有用的应用程序或者是mp3文件,然而其文章中并没有直接提到搭载恶意安装程序的网站!我在其文章中截图内找到了一个URL: listentoyoutube.com,接着与该站点进行交互,该网站提供youtube视频音乐等下载服务

擅于观察的读者可能会发现这个复选框中的内容(默认勾选),“下载加速器并获取帮助”选项。单击下载按钮就会下载一个.dmg后缀的图像,其命名与mp3文件明相同。执行该文件后用户会被感染,安装多个顽固性广告软件。

文章中提到该图片文件中包含一个“引人注目的结构;其包含有两个隐藏文件夹,如果用户下定决心要看DMG文件中的内容需要使用Finder工具”。其中提到引人注目的IMHO结构并不起眼,这两个文件夹无非就是前缀加上了一个“.”而已,仅仅只是为了不被轻易发现,而使用Finder工具默认是会显示出来的。同样也可以使用终端进行查看:

当加载好.dmg文件之后(双击即可),如下所示:

双击打开<song>_mp3.app,就会执行macLauncher(MD5: 5f1e998e0213364ae44472495a71f123),该二进制只是简单的执行一个名为Downloader的应用程序,该程序位于隐藏的.app文件夹下。有趣的是,这是通过编程调用AppleScript脚本:

正如其名,“Downloader”是一个用来下载(安装)其他软件的应用程序。在二进制字符串中暴露了其名称“macInstaller”,版本“1.7.12-d”以及MD5值“a6a23e7815d08a596da37e38b466e7a2”。

执行期间,该软件使用顽固广告软件感染系统,在本文中暂不分析这些顽固广告软件。经过一阵的分析,其包含有一个Genieo变种。

该广告软件会引起各种意外或者恶意行为。比如,以不同的方式通过恶意浏览器扩展进行浏览器劫持。了解更多这些恶意扩展可以访问KnockKnock

Genieo正努力的尝试作为一个LaunchAgent保持其顽固性,还好BlockBlock能够进行拦截

在VirusTotal中暂时还没有该Genieo变种的版本号[VirusTotal详细信息],Dr. Web以及其他杀毒引擎并未发现该恶意软件的存在。

样本下载

链接:http://pan.baidu.com/s/1eQyEjzc 密码:oswx[解压密码:freebuf.com]

*参考来源objective-see,译者/鸢尾 转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21380114(PV) 页面执行时间:65.075(MS)
  • xml
  • 网站地图