Бэкдор, ориентированный на заражение компьютеров под управлением операционной системы Apple Mac OS X. Троянец написан с применением языков программирования С++ и Lua, активно использует криптографию.
Бэкдор может выполнять два типа команд: различные команды в зависимости от пришедших бинарных данных или выполнение Lua-скрипта. Список базовых команд, которые используются в приходящих Lua-скриптах, зашифрован:
socks
system
httpget
httpgeted
rand
sleep
banadd
banclear
p2plock
p2punlock
nodes
lea
fs
unknowns
p2pport
p2pmode
p2ppeer
port
p2ppeertype
set
get
clear
platform
script
uptime
uid
ver
addnНабор базовых команд бэкдора для Lua-скриптов позволяет выполнять следующие операции:
- Получение типа ОС;
- Получение версии бота;
- Получение UID бота;
- Получение значения параметра из конфигурационного файла;
- Установка значения параметра в конфигурационном файле;
- Очистка конфигурационных данных от всех параметров;
- Получение времени работы бота (uptime);
- Отправка GET-запроса;
- Скачивание файла;
- Открытие сокета для входящего соединения с последующим выполнением приходящих команд;
- Выполнение системной команды;
- Выполнение паузы (sleep);
- Добавление нода по IP в список «забаненных» узлов;
- Очистка списка «забаненных» нодов;
- Получение списка нодов;
- Получение IP-адреса нода;
- Получение типа нода;
- Получение порта нода;
- Выполнение вложенного Lua-скрипта.
На текущий момент можно сказать о наличии следующих функций (не считая функционал Lua-скриптов):
- Отправка UID;
- Отправка номера открытого порта;
- Добавление в свой список нодов новых ботов (как подключившихся, так и пришедших в команде);
- Ретрансляция трафика (принимаемые данные по одному сокету без изменений передаются на другой);
- Подключение к хосту, указанному в пришедшей команде;
- Выполнение Lua-скриптов.
