เมื่อเดือนที่ผ่านมาเราเขียนบทความเกี่ยวกับ OSX/Keydnap มัลแวร์บนระบบปฏิบัติการ OS X ที่ถูกออกแบบมาเพื่อขโมยข้อมูล และแทรกตัวอยู่ในระบบอย่างแนบเนียน ซึ่งก่อนหน้านี้เรายังไม่ทราบถึงวิธีการเข้าแทรกซึมเข้าสู่ระบบของ Keydnap
OSX/Keydnap แพร่กระจายผ่านเว็บไซต์ทั่วๆไป โดยสร้างเวอร์ชันเสมือนของแอปพลิเคชันอย่าง BitTorrent และฝังตัวอยู่บนเว็บไซต์
ทันทีที่ ESET รายงานไปทีมงานของพวกเขาก็ทำการเอาไฟล์ออกทันที และเริ่มการตรวจสอบทันทีเพื่อสืบหาสาเหตุ จากรหัสของมันทำให้เราทราบว่าแอปพลิเคชันลงชื่อไปเมื่อวันที่ 28 สิงหาคม และเหมือนจะแพร่กระจายในวันถัดมา เพราะฉะนั้นเราแนะนำให้ทุกคนที่ดาวน์โหลดแอปพลิเคชัน Transmission v2.92 ระหว่างวันที่ 28 ถึง 29 ส.ค. ตรวจสอบว่าระบบของคุณได้รับผลกระทบหรือไม่โดยการตามหาไฟล์เหล่านี้:
- /Applications/Transmission.app/Contents/Resources/License.rtf
- /Volumes/Transmission/Transmission.app/Contents/Resources/License.rtf
- $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/icloudsyncd
- $HOME/Library/Application Support/com.apple.iCloud.sync.daemon/process.id
- $HOME/Library/LaunchAgents/com.apple.iCloud.sync.daemon.plist
- /Library/Application Support/com.apple.iCloud.sync.daemon/
- $HOME/Library/LaunchAgents/com.geticloud.icloud.photo.plist
ถ้าหากคุณมีไฟล์เหล่านี้อยู่ในเครื่องนั่นหมายความว่ามัลแวร์ Keydnap ได้ทำงานอยู่บนเครื่องคุณแล้ว และอีกจุดสังเกตก็คือไฟล์ติดตั้งเลียนแบบมีชื่อว่า Transmission2.92.dmg ในขณะที่ของแท้มีชื่อว่า Transmission-2.92.dmg
Like this:
ถูกใจ กำลังโหลด...
เมื่อเดือนที่ผ่านมาเราเขียนบทความเกี่ยวกับ OSX/Keydnap มัลแวร์บนระบบปฏิบัติการ OS X ที่ถูกออกแบบมาเพื่อขโมยข้อมูล และแทรกตัวอยู่ในระบบอย่างแนบเนียน ซึ่งก่อนหน้านี้เรายังไม่ทราบถึงวิธีการเข้าแทรกซึมเข้าสู่ระบบของ Keydnap
OSX/Keydnap แพร่กระจายผ่านเว็บไซต์ทั่วๆไป โดยสร้างเวอร์ชันเสมือนของแอปพลิเคชันอย่าง BitTorrent และฝังตัวอยู่บนเว็บไซต์
ทันทีที่ ESET รายงานไปทีมงานของพวกเขาก็ทำการเอาไฟล์ออกทันที และเริ่มการตรวจสอบทันทีเพื่อสืบหาสาเหตุ จากรหัสของมันทำให้เราทราบว่าแอปพลิเคชันลงชื่อไปเมื่อวันที่ 28 สิงหาคม และเหมือนจะแพร่กระจายในวันถัดมา เพราะฉะนั้นเราแนะนำให้ทุกคนที่ดาวน์โหลดแอปพลิเคชัน Transmission v2.92 ระหว่างวันที่ 28 ถึง 29 ส.ค. ตรวจสอบว่าระบบของคุณได้รับผลกระทบหรือไม่โดยการตามหาไฟล์เหล่านี้:
ถ้าหากคุณมีไฟล์เหล่านี้อยู่ในเครื่องนั่นหมายความว่ามัลแวร์ Keydnap ได้ทำงานอยู่บนเครื่องคุณแล้ว และอีกจุดสังเกตก็คือไฟล์ติดตั้งเลียนแบบมีชื่อว่า Transmission2.92.dmg ในขณะที่ของแท้มีชื่อว่า Transmission-2.92.dmg
Share this:
Like this: