Onderzoekers hebben een nieuw Trojaans paard voor Mac OS X ontdekt dat zich als een PDF-bestand vermomt. Bij het openen van de malware wordt de inhoud van een PDF-bestand getoond, zodat de gebruiker niets vermoedt. Ondertussen installeert de Revir Trojan een backdoor, die in verbinding met een Command & Control server staat. De server zou volgens het Finse anti-virusbedrijf op dit moment niet operationeel zijn. Het gebruikte Russische domein werd op 21 maart van dit jaar geregistreerd en op 21 mei aangepast.

F-Secure weet nog niet hoe de malware zich verspreidt, maar zeer waarschijnlijk doet het dit als e-mailbijlage. Daarbij zou de malware mogelijk een soortgelijke techniek als Windows malware gebruiken. Veel Windows malware doet zich voor als pdf.exe. Aangezien Windows standaard de bestandsextensie niet toont en aanvallers een willekeurig icoon aan het bestand kunnen koppelen, denkt de ontvanger dat het om een PDF-bestand gaat.

Test
In dit geval ontbraken het icoon en de extensie. De virusbestrijder houdt dan ook de mogelijkheid open dat de malware nog lastiger op te merken is dan op een Windows computer, aangezien het elke willekeurige extensie kan gebruiken. De malware werd gevonden via VirusTotal. F-Secure houdt er dan ook rekening mee dat het mogelijk om een proef van de virusschrijver gaat, om te zien hoeveel anti-virusbedrijven de malware detecteren.