Новый вредонос Clampzok портит файлы в Mac OS X

Специалисты по информационной безопасности говорят о выявлении новой концептуальной атаки, направленной на компрометацию операционной системы Mac OS X. Новый вредоносный код под названием Clampzok.A представляет собой кросс-платформенный пакет, который размещает соответствующие операционной системе двоичные файлы. Эти файлы при исполнении в файловой системе поражают расположенные рядом двоичные файлы.

Вредное ПО было написано на ассемблере и вначале представлено еще в 2006 году для операционных систем Windows и Linux, но на данный момент оно было обновлено, чтоб поддерживать 32-разрядные двоичные файлы Mach-O в OS X.

В отличие от троянцев, шпионского софта либо маркетинговых программ, которые прячутся в файловой системе, чтоб юзер как можно подольше не нашел их, данный код напротив старается растиражировать себя как можно обширнее, вызывая нарушения в работе операционной системы. Необходимо отметить, что схожее поведение стало очень нетипичным для современных вредных разработок.

При инфицировании Clampzok видоизменит сектор _PAGEZERO в обычного бинарного файла и вводит туда вирусный код. Не считая того, сам вредонос не мешает выполнению зараженного файла в системе, хотя и в структуре файла возникает сноска LC_UNIXTHREAD, отсылающая ОС к кусочку вредного кода. Программка работает таким макаром со всеми двоичными файлами в OS X, выполняясь до того времени, пока не будут поражены все файлы в папке /bin.

Необходимо подчеркнуть, что код работает только с 32-битными файлами, но таких файлов в Mac OS X пока остается достаточно много. В новых OS X больше программ перебегают на 64-битную адресацию.

Одной из противных особенностей работы вредоноса будет то, что он “разламывает” подписанные в App Store программки и если у тех были изменены бинарные файлы, они перестают работать до момента полного удаления.