Beveiligingsonderzoekers van Microsoft hebben een backdoor voor Mac OS X aangetroffen in een backdoor voor Windows. De onderzoekers vonden de malware in een rar-archief dat anoniem was geüpload naar online virusscanner VirusTotal. In de bestandsnaam komt de datum 5 juli 2009 voor maar het bestand is volgens Microsoft een jaar geleden nog geüpdatet.

Vermomd als Google

Tussen alle bestanden zitten twee kwaadaardige uitvoeringsbestanden: Eén .exe voor Windows en een Mach-O bestand voor Mac OS X. De Mac-versie van de malware kan zichzelf installeren op de achtergrond zonder rootrechten. De backdoor vermomt zichzelf als een Google-applicatie.

Zo creëert de malware een directory met de naam 'google' aan in de map /Library/Application Support waar gedeelde bestanden voor apps op Mac OS X geplaatst worden. Ook staat een reservekopie met de naam google.tmp in de tijdelijke bestanden. Als de backdoor actief is, probeert hij verbinding te maken met het IP-adres 121.254.173.57.

Bestanden bekijken

Als die verbinding actief is kan de aanvaller vervolgens bestanden uploaden en downloaden op de getroffen computer. Ook is het mogelijk om door bestanden te bladeren. Opvallend is dat de backdoors, Olyx (Mac) en Wolyx (Windows) veel gelijkenissen vertonen met Ghostnet. Dat is een backdoor die een tijd geleden op veel overheidscomputers werd aangetroffen.

Beveiligingsbedrijf sust

Ondertussen sust Mac-beveiliger Intego de ophef over de backdoor. Volgens het bedrijf biedt haar virusscanner al ruim een maand bescherming tegen deze backdoor. Volgens Intego is de dreiging bovendien erg klein omdat er (nog) geen versie in het wild voorkomt die kwaad kan op Mac-computers.

Microsoft gaat niet in op de oorsprong van het virus. Wel meldt het bedrijf dat de Windows-versie van de backdoor gebruik maakte van een correct digitaal certificaat dat toegekend is aan een Chinees bedrijf. Dat certificaat was geldig tot 2012 maar is inmiddels wel ingetrokken.