يخدع المستخدمين عبر إيهامهم بأنهم يحمّلون أو يستعرضون ملف صورة
ويحاول الإصدار الجديد والمسمى Imuler.C خداع المستخدمين عبر إيهامهم بأنهم يحمّلون أو سيقومون باستعراض ملف صورة.
وانتشر هذا الإصدار على شكل ملفات مضغوطة تسمى "Pictures and the Ariticle of Renzin Dorjee.zip " أو "FHM Feb Cover Girl Irina Shayk H-Res Pics.zip".
ويوضح الباحثون أن مبرمج الفيروس يعتمد على تقنيات ما يسمى بالهندسة الاجتماعية، وعلى الإعدادات الافتراضية لنظام Mac OS X، حيث إن الامتداد الكامل للملف لا يظهر وفق الإعدادات الافتراضية، لذا يستخدم الفيروس أيقونة الصور لتنفيذ البرامج التنفيذية.
وعند تنفيذ الفيروس فإنه ينصب نفسه بالخفاء في المسار /tmp/.mdworker، ويدمج نفسه بين باقي الملفات الموجودة. وبعدها يشغل mdworker لأرشفة الملفات. وينصب الملفات أيضاً في المسار library/LaunchAgents/checkvir.plist وهو المسار الذي يحوي تطبيق فحص الفيروسات عند التشغيل، وذلك لضمان تفعيل الفيروس عند تشغيل الجهاز.
وبعدها يحذف الفيروس ملفه الأصلي .mdworker، ويبحث عن بيانات المستخدم ويحاول إرسالها إلى مخدم خارجي عبر الإنترنت، بالإضافة إلى صور الشاشة.
كما ينشئ الفيروس ملفاً تعريفياً مميزاً لكل جهاز مصاب، وذلك من أجل ربطه بالملفات المرسلة منه. ويحذر الخبراء بأن الفيروس ما زال نشطاً، وهو يحاول الاتصال بمخدمات خارجية لتحميل عدد آخر منه والانتشار.
وينصح الباحثون بتفعيل خاصية عرض كامل امتداد الملف من أجل التمييز بين ملف الصورة الحقيقي والتطبيق الذي يحمل أيقونة على شكل صورة.
