Jak sprawdzić, czy mój komputer jest zainfekowany trojanem kryzysowym OSX / Crisis?

4

Niedawno odkryto nowego trojana dla OS X. Najwyraźniej dotyczy to tylko Leoparda i Lwa. To, czy wpływa / nie wpływa na Mountain Lion, jest nadal nieznane. Trojan siedzi na twoim komputerze i ukrywa się, jak dotąd nic nie robiąc. Jak sprawdzić, czy ten trojan został zainstalowany w moim systemie? Jeśli tak, to jak go usunąć?

daviesgeek
źródło

Odpowiedzi:

1

Najwyraźniej Intego badało tego trojana i odkryło , że trojan będzie na twoim komputerze tylko wtedy, gdy istnieje następujący folder:

/Library/ScriptingAdditions/appleHID/

Jeśli został zainstalowany z uprawnieniami administratora, te pliki / foldery będą istnieć:

  • /System/Library/Frameworks/Foundation.framework/XPCServices/
  • /System/Library/Frameworks/Foundation.framework/XPCServices/com.apple.mdworker_server.xpc/Contents/MacOS/com.apple.mdworker_server
  • /System/Library/Frameworks/Foundation.framework/XPCServices/com.apple.mdworker_server.xpc/Contents/Resources/
  • /Library/ScriptingAdditions/appleHID/Contents/Resources/appleOsax.r

Te pliki pingują adres IP 176.58.100.37 co 5 minut. Obecnie nic nie robi, ale w dowolnym momencie trojan może się aktywować i potencjalnie powodować problemy. Intego informuje również, że trojan nie ma wpływu na Mountain Lion. VirusBarrier Intego usunie trojana.

daviesgeek
źródło
2
Istnienie /System/Library/Frameworks/Foundation.framework/XPCServices/nie wskazuje, czy masz tego trojana: jest to normalny katalog i jest częścią dobrze udokumentowanego interfejsu API usług XPC.
@MarkTrapp W porządku, ale według Intego jest to część trojana. Czy czytałeś artykuł?
daviesgeek
3
Zrobiłem; Mówię, że upraszczają / źle opisują naturę tego katalogu: samo jego istnienie nie oznacza, że ​​masz OSX / kryzys. Uważam, że konto trojana firmy Kaspersky Lab jest bardziej dokładne / mierzone.
W porządku. Rozumiem. Tylko uwaga na artykuł, do którego linkujesz; informuje, że nazwa złośliwego oprogramowania to „Backdoor.OSX.Morcut”. Intego określa to jako „Kryzys OS / X”. Czy to ten sam szkodliwy program?
daviesgeek