Вчера, ESET съобщи за откритието на нова заплаха за платформата на Apple Mac OS X. Днес открихме нова версия на същата заплаха. Новата версия е подобна на старата, с две основни разлики. Първото допълнение е, че сега тя е по-устойчива върху инфектираната система. Също така има актуализация в информацията на командите и контрола.OSX/Tsunami.A сега има сега възможност сам да се копира в <code>/usr/sbin/logind</code>. След това създава файл с име <code>/System/Library/LaunchDaemons/com.apple.logind.plist</code> със съдържанието, показано на този скрийншот, за да може зловредният изпълним файл да се стартира след всяко рестартиране на системата.
Втората разлика, която идентифицирахме във версията е нова команда и контрол в IRC сървър и IRC канал. В момента на писане, никой от IRC сървърите не отговарят.Въпреки, че примерите, които получихме от две различни страни на два континента, нашата телеметрична информация все още индикира, че има все още твърде малко машини, инфектирани с този зловреден код. Вярваме, че хората, които стоят зад тази заплаха, все още са в процес на тестване на това, което са направили. Те вероятно адаптират кода, оригинално написан за Linux към OS X платформата. Все още нямаме информация за специфичен вирусен вектор на тази заплаха. Може да е инсталиран ръчно от хакер или по автоматичен начин. Тази заплаха не е толкова сложна както TDL4 или Win32/Duqu, ака че смятаме, че рискът за Mac потребителите е ограничен. Ще продължим да наблюдаваме ситуацията отблизо.Пиер-Марк Буро
Старши изследовател на зловреден софтуер