OS X er et af de sikreste operativsystemer i verden, meget få typer malware er udviklet til Apples styresystem. Alligevel dukker der nu og da en ny malware op, der truer Mac-ejere, og i dag taler jeg om en ny version af en malware kaldet Imuler. Denne nye trussel den er skjult i filer, der i første omgang ser ud til at være simple billeder, men i virkeligheden er inficerede filer, der kan give dig en del problemer. Malwaren er skjult i arkiver udgivet under navnene Billeder og artiklen af Renzin Dorjee.zip si FHM feb Forsidepige Irina Shayk H-Res Pics.zip og infektionsmetoden er baseret på det faktum, at OS X ikke viser filtypenavne eller thumbnails for billeder, så brugeren får adgang til dem for at se dem.
Malwaren installerer en bagdør på /tmp/.mdworker sammen med andre filer i denne mappe. En proces kaldet .mdworker starter derefter; mdworker-processen (ikke fraværet af . før navnet) er en proces, der bruges af Spotlight til at indeksere filer. En launchagent-fil er også installeret på ~/library/LaunchAgents/checkvir.plist, sammen med en eksekverbar i samme mappe, sikre, at malwaren starter, når brugeren logger på sin Mac eller starter den op. Efter en genstart slettes .mdworker-processen, og den eksekverbare checkvir starter. Denne malware søger efter brugerdata og forsøger at uploade dem til en server. Det tager også skærmbilleder og sender dem til serveren. Det skaber en unik identifikator for den specifikke Mac for at kunne forbinde Mac'en og de data, den indsamler. Vi har set, at denne malware er aktiv, da den opretter forbindelse til en ekstern server og downloader nye eksekverbare filer.
Efter adgang åbner malwaren en proces, kaldet .mdworker, i Mac og ved genstart åbner en fil, der tidligere er kopieret ind ~/library/LaunchAgents/checkvir.plist. Hvis du er blevet inficeret med denne malware, så vil information indsamlet fra hele operativsystemet plus skærmbilleder af Mac-skærmen blive sendt fra din Mac til hackernes servere, så hackere kan finde ud af alt, hvad du gør uden den store indsats. For at beskytte dig selv skal du sørge for, at du har aktiveret muligheden for at vise filtypenavne i Finder>Indstillinger>Vis alle filtypenavne.
