Une nouvelle variante du Cheval de Troie Crisis
En juillet 2012 un Cheval de Troie capable d'infecter Mac et PC et surnommé Crisis avait été découvert. Il permet une fois installé d'envoyer l'essentiel des données potentiellement intéressantes présentes sur les machines cibles à un serveur distant : documents, images, captures d'écran et logs des frappes clavier.
Ce "produit", qui semble avoir été développé au départ pour des autorités gouvernementales, semble avoir échappé à ses créateurs et se retrouve dans une nouvelle variante toute aussi dangereuse.
Sur son blog, Intego donne des informations sur cette nouvelle variante, qui aurait jusqu'à aujourd'hui échappé à la détection de tous les antivirus. Il se cache dans de nombreux endroits:
- Bibliothèque / LaunchAgents / com.apple.UIServerLogin.plist
- Library/Preferences/2Md1ctl2/0T4Nn2U0.tze
- Library/Preferences/2Md1ctl2/5KusPre5.vAl
- Library/Preferences/2Md1ctl2/Contents/Info.plist
- Library/Preferences/2Md1ctl2/Contents/Resources/9uW_anE9.cIL.kext/Contents / Info.plist
- Library/Preferences/2Md1ctl2/Contents/Resources/9uW_anE9.cIL.kext/Contents / MacOS/9uW_anE9.cIL
- Library/Preferences/2Md1ctl2/hFSGY5ih.rfU
- Library/Preferences/2Md1ctl2/q45tyh
- Library/Preferences/2Md1ctl2/WaAvsmZW.EMb
- Bibliothèque / Scripting Additions / UIServerEvents / Contents / Info.plist
- Bibliothèque / Scripting Additions / UIServerEvents / Contents / MacOS/0T4Nn2U0.tze
- Bibliothèque / Scripting Additions / UIServerEvents / Contents / Resources / UIServerEvents.r
Une analyse du code source de la variante est en cours.