Компания «Доктор Веб» уже сообщала о вредоносной программе BackDoor.Flashback, представляющей угрозу для пользователей операционной системы Mac OS X. В ноябре специалисты выявили новую модификацию этого многокомпонентного бэкдора, вошедшую в вирусные базы Dr.Web как BackDoor.Flashback.8. 

Напомним, что BackDoor.Flashback – весьма сложный по своей архитектуре многокомпонентный бэкдор для Mac OS X. Установщик этого вредоносного ПО маскируется под программу-инсталлятор Adobe Flash Player.

Пользователю Mac OS X предлагается загрузить и установить архив, содержащий файл с именем FlashPlayer-11-macos.pkg (для других ОС загрузка не выполняется). После запуска установщик пытается скачать с удаленного сайта основной модуль троянца. Если загрузить его не удается, установщик прекращает работу. 

Основной модуль BackDoor.Flashback реализует в системе функции бэкдора и способен выполнять команды, поступающие от многочисленных удаленных серверов или директивы, содержащиеся в конфигурационном файле (например, такую команду, как интегрирование в просматриваемые пользователем веб-страницы кода на языке JavaScript). Однако библиотека позволяет выполнять и любые стандартные команды shell. 

Старая версия троянца обладает встроенным механизмом проверки первичных управляющих серверов, указанных в конфигурационном файле: троянец выбирает тот сервер, который возвращает подписанный цифровой подписью SHA1 от собственного имени. В качестве резервного канала для получения команд могут использоваться сообщения на сервере mobile.twitter.com. 

Новая версия бэкдора, BackDoor.Flashback.8, отличается от своих предшественниц тем, что в нее добавлена возможность встраивания вредоносных модулей в различные процессы. Этот механизм реализован двумя различными способами в зависимости от того, присутствуют ли в целевом процессе экспортированные функции из модуля dyld. В случае их отсутствия троянец ищет необходимые функции в памяти.