Специалисты «Лаборатории Касперского» обнаружили новый мультиплатформенный троян: Java-даунлоуадер определяет версию операционной системы и в зависимости от этого принимает решение, какое вредоносное ПО загрузить на данный компьютер.
Программа получила название Trojan-Downloader.Java.OpenConnection.fa и была обнаружена 15 февраля. На скриншоте показана часть кода, которая отвечает за распознавание ОС.
Дальнейшие действия трояна зависят от среды. Если на компьютере стоит Windows, происходит загрузка Trojan-Dropper.Win32.Agent.gjtw и нового даунлоадера Trojan-Downloader.Win32.Agent.ujhb.
В других операционных системах срабатывают два других скрипта. Однако, в операционной системе заражения не происходит, троян специально «заточен» под Mac OS.
В коде есть указание на платформу "darwin".
Здесь в объекты записываются в систему: в автозапуск в plist-файл.
После всех этих процедур осуществляется запуск скрипта update.py, который является HTTP-бэкдором (Backdoor.Python.Aharm.a) и периодически посылает запросы на удалённый сервер, ожидая команд. В случае поступления команды она выполняется на заражённой машине.
Исходный код бэкдора доступен для изучения на сайте Google Code под лицензией Apache 2.0.
