Распространяется в пиратских дистрибутивах известных программ для платформы Mac OS X. В отличии от Mac.Iservice.1, эта модификация троянца распространяется в составе пиратских дистрибутивов известных программ в виде программ генераторов лицензий (keygen). Именно эти генераторы и устанавливают в систему троянскую программу, причем при запуске такого генератора он запрашивает ввести пароль администратора, что само по себе является подозрительным. После запуска и ввода пароля администратора в систему устанавливается и активируется троянская программа.
В процессе установки вирус копирует себя в следующие системные каталоги: Исполняемый файл троянской программы устанавливается в /usr/bin/ DivX. Для автозапуска вместе со стартом системы тронская программа прописывает себя в качестве параметра автозагрузки в /System/Library/StartupItems/DivX/
Здесь размещается shell-скрипт со следующим содержимым:
#!/bin/sh
/usr/bin/DivX &
Его задачей является запустить на выполнения троянскую программу, которая в случаи наличия интернет-соединения активирует зараженную машину в ботнет-сеть.
Конфигурационный файл расположен здесь:
По умолчанию файл StartupParameters.plist содержит следующие параметры:
{
Description = ("DivX");
Provides = ("DivX");
Requires = ("Network");
OrderPreference = "None";}
Зараженным компьютером осуществляется сетевое взаимодействие по протоколу TCP со следующими хостами (хост:порт):
Зараженный хост становится частью ботнета и может удаленно выполнять следующий набор команд:
Конфигурирование бота:
Обновление и добавление функционала:
Управление ботом:
Управление p2p-ботнетом:
