یك تروجان جدید Mac OS X كشف شده است كه بر اساس اینكه بر روی حساب كاربری با مجوزهای Admin اجرا می­شود یا خیر، اجزای مختلفی را بر روی سیستم قربانی نصب می­كند. این تهدید خود را بدون سر و صدا نصب می­نماید و برای ضربه زدن به سیستم Mac، نیازی به كلمه عبور كاربر ندارد. جزء راه نفوذ مخفی این بدافزار هر پنج دقیقه یكبار با آدرس آی پی 176.58.100.37 تماس برقرار كرده و منتظر دستورات می­ماند.

شركت امنیتی Intego كه پس از كشف این بدافزار امضاهای ضد بدافزار خود را به روز كرده است، آن را OSX/Crisis نامیده است.

این تروجان مثل اغلب تروجان­های دیگر زمانی كه اجرا می­گردد، بی سر و صدا یك راه نفوذ مخفی نصب می­كند. اما چیزی كه نگران كننده است این است كه OSX/Crisis بر اساس اینكه حساب كاربر دارای مجوزهای Admin باشد یا خیر، اجزای مختلفی را بر روی سیستم قربانی نصب می­نماید كه از آنها برای پنهان كردن فعالیت­های خود استفاده می­كند. البته این تروجان همیشه تعدادی فایل و فولدر برای انجام كار خود ایجاد می­نماید.

اگر این بدافزار بر روی سیستمی با مجوزهای Admin اجرا گردد، برای پنهان كردن خود یك rootkit بر روی سیستم قرار می­دهد. این بدافزار زمانی كه با مجوز Admin اجر می­شود، 17 فایل ایجاد می­كند و زمانی كه بدون مجوز Admin اجرا می­گردد، 14 فایل. بسیاری از این فایل­ها به طور تصادفی نامگذاری می­شوند، ولی برخی فایل­ها نیز دارای نام­های ثابت هستند. به هر حال این فولدر تحت هر شرایطی ایجاد می­گردد:

/Library/ScriptingAdditions/appleHID/

اما در صورت داشتن مجوز Admin، فولدر زیر نیز ایجاد می­شود:

/System/Library/Frameworks/Foundation.framework/XPCServices/

به گفته یك سخنگوی Intego، این فایل به روشی ایجاد می­شود كه استفاده از ابزارهای مهندسی معكوس در هنگام تحلیل فایل را مشكل می­سازد. این نوع تكنیك ضد تحلیل در بدافزارهای ویندوز معمول است، ولی در مورد بدافزارهای OS X روشی غیر معمول به حساب می آید.

این بدافزار خاص صرفا سیستم­های OS X 10.6 Snow Leopard و OS X 10.7 Lion را تحت تاثیر قرار می­دهد.