Vanja Svajcer, a Sophos biztonsági tanácsadójának blogjából
Hamarosan hozzáadjuk az új Mac Trójai program észlelését a Sophos víruskereső motorjához, amelyről Jose Nazario, az Arbor Networks munkatársa írt egy részletes leírást. OSX/Jahlav-A néven lesz észlelve a jövőben. A Trójai mint a MacAccess alkalmazás kulcsgenerátoraként érkezik egy standard DMG lemezkép állományban, általában egy, az OSX/RSPlug Trójai programok különböző változatait hosztoló weboldalhoz hasonlatos oldalról letöltve.
A különbség abban áll, hogy ezúttal a kártevő nem csak egyszerűen átirányítja a DNS beállításokat a hamis DNS szerverre, de csatlakozik egy Hollandiában található IP címre is azért, hogy további kódrészleteket töltsön le és hajtsa végre azokat.
Két megegyező állomány található a DMG állományon belül, egy előtelepítő és egy előfrissítő, ezek standard Unix shell scriptek, amelyek további uuencodede terheléseket tartalmaznak. Amikor dekódolják ezeket, az első réteg egy másik shell script, amely egy cron job-ot állít fel egy AdobeFlash állomány futtatásához a „/Library/Internet Plug-Ins" könyvtárban. Ez az állomány a kezdeti előtelepítő/előfrissítő scriptek másolata.
Kezdetben úgy gondoltam, hogy a letöltő képességet fel lehet használni a fertőzött Mac botnet részévé alakításában, de a letöltött kód működése azonos a korábbi OSX/RSPlug változatokkal. A további kódrészlet egy másik uuencoded és finoman elmaszkírozott shell script, amely valójában megváltoztatja a helyi DNS beállításokat, hogy számos Ukrajnában található hamis DNS szerverre mutassanak, a 85.255.112.6 és 85.255.112.127 IP címeket használva.
Az új minta egyike annak a néhány általunk korábban látott mintának és azt mutatja, hogy a Zlob banda továbbra is nagyon érdekelt a Macintosh gépek megfertőzésében.