Windows-trojaner angriper Mac

Windows-trojaner angriper Mac

Mange skjermsparere til Mac OS X infisert av spionprogram.

En ny Mac-versjon av en gammel Windows-trojaner viser seg å være en slemming. Opinionspy-trojaneren ble oppdaget for Windows i 2008, men nå biter den altså Mac-er også.

Windows-versjonen er mer et spionprogram som samler surfedata og kjøpsinformasjon, men Mac-versjonen drar det hele noen steg lenger, skriver sikkerhetsselskapet Intego.

OSX/Opinionspy lastes ned under installasjon av gratisapplikasjoner for Mac, deriblant en hel rekke skjermsparere og noen programmer som ligger tilgjengelig på populære sider som Macupdate, Versiontracker og Softpedia.

Samler nesten alt

Enkelte av programmene informerer via en boks som må aksepteres at det følger med et ”markedsforskningsprogram” kalt PremierOpinion, mens andre ikke inneholder noen form for advarsel. Siden du oppgir root-passordet under installasjon, får trojaneren administratortilgang, og kan dermed gjøre hva som helst og kan styres via en bakdør som åpnes på port 8254.

Når det gjelder datainnsamling, går trojaneren grundig til verks. Den skanner alle tilgjengelige lagringsmedier, både lokale og nettverksdisker, og bruker dermed mye systemressurser. Der er derimot uklart hvilke data den velger å sende til sine servere. Trojaneren avlytter også inngående og utgående nettverkstrafikk. Dermed kan den også avlytte aktivitet på lokalnettverket, så vel som Mac-ens dialog med internett. Som om ikke det er nok injiserer trojaneren også kode i nettleseren som gir den full oversikt over informasjon her.

Seiglivet

Disse dataene sendes til en rekke servere via port 80 og 443, og skurkene kan bygge opp gigantiske brukerprofiler summen av disse dataene.

Om trojaneren skulle stoppe å kjøre, starter den på nytt via Macs innebygde tjenestestarterprogram launchd. Den kan oppgradere seg selv automatisk uten brukerens samtykke og viten.

Intego har døpt trojaneren OSX/Opinionspy, og mener trojaneren beviser at det bør satses på sanntids virusskanning på Mac.

Det er i hovedsak skjermsparere fra 7art-screensavers som skal være infisert. Den foreløpige listen over applikasjonene som er rammet, finner du her.