Обнаружен новый ботнет для OS X


Обнаружен новый ботнет для OS X


В сентябре вирусные аналитики компании «Доктор Веб» исследовали сразу несколько новых угроз для операционной системы Apple OS X. Одна из них — это сложный многофункциональный бэкдор, добавленный в вирусные базы Dr.Web под именем Mac.BackDoor.iWorm. Бэкдор позволяет выполнять на инфицированном «маке» широкий набор различных команд, поступивших от злоумышленников. Полученные в результате статистического анализа данные свидетельствуют о наличии более 17 000 уникальных IP-адресов инфицированных троянцем «маков».

При создании данной вредоносной программы злоумышленники использовали языки программирования С++ и Lua, при этом в архитектуре бэкдора широко применяется криптография. В процессе установки троянец распаковывается в папку /Library/Application Support/JavaW, после чего дроппер собирает «на лету» файл plist для обеспечения автоматического запуска этой вредоносной программы.

В момент первого запуска Mac.BackDoor.iWorm сохраняет свои конфигурационные данные в отдельном файле и пытается прочитать содержимое папки /Library, чтобы получить список установленных в системе приложений, с которыми бэкдор не будет в дальнейшем взаимодействовать. Если «нежелательные» директории обнаружить не удается, бот получает с использованием нескольких системных функций наименование домашней папки пользователя OS Х, от имени которого он был запущен, проверяет наличие в ней своего конфигурационного файла и записывает туда данные, необходимые ему для дальнейшей работы.

Затем Mac.BackDoor.iWorm открывает на инфицированном компьютере один из портов и ожидает входящего соединения, отправляет запрос на удаленный интернет-ресурс для получения списка адресов управляющих серверов, после чего подключается к удаленным серверам и ожидает поступления команд для последующего выполнения.

Примечательно, что за списком адресов управляющих серверов бот обращается к поисковому сервису сайта reddit.com, указывая в качестве запроса шестнадцатеричные значения первых 8 байт хэш-функции MD5 от текущей даты. По результатам поиска reddit.com отдает веб-страницу со списком управляющих серверов ботнета и портов, которые злоумышленники публикуют в виде комментариев к теме minecraftserverlists от имени пользователя vtnhiaovyd.

Троянец пытается установить соединение с командными серверами, перебирая в случайном порядке первые 29 адресов из полученного списка и отправляя запросы на каждый из них. Повторные запросы к сайту reddit для получения нового перечня отправляются раз в 5 минут.

В процессе установки соединения с управляющим сервером, адрес которого выбирается из списка по специальному алгоритму, троянец пытается определить, не добавлен ли этот адрес в список исключений, и обменивается с ним специальным набором данных, по которым с использованием ряда сложных математических преобразований проверяется подлинность удаленного узла. Если проверка прошла успешно, бот отправляет на удаленный сервер номер открытого на инфицированном компьютере порта и свой уникальный идентификатор, ожидая в ответ поступления управляющих команд.

Автор: Softodrom.ru
Дата:
stealth
stealth, 29.09.2014 21:40
Грите, Маки вирусам не подвержены? Ну-ну...
» Прочитать остальные / Написать свой комментарий

Новости > Новости НеWindows > Обнаружен новый ботнет для OS X
Все рубрики статей:
Топ-сегодня: Новости НеWindows
Lindows 4.0 на удивление хороша
После недели тестирования Lindows я был слегка удивлен тем, что мне понравилась эта операционная система
Ошибка в KDE сделала Linux-системы уязвимыми
В популярном программном обеспечении KDE (комплексный пакет ПО для Linux) обнаружена серьезная уязвимость
Разработчик Национальной программной платформы обанкротился
Компания «ПингВин Софтвер», выигравшая конкурс на создание прототипа Национальной программной платформы, подала в суд заявление о своем банкротстве
Microsoft разработала экспериментальную операционную систему
Microsoft выпустила прототип новой операционной системы под кодовым названием Barrelfish
Joomla - открытый проект, ответвившийся от Mamba
Группа разработчиков из проекта по созданию открытой CMS - Mambo - обнародовала собственную версию системы под названием Joomla
Новые статьи: Новости НеWindows
Ядро Linux защитят от пользовательских процессов
Разработчики Linux добавили в операционную систему модуль изоляции ядра, исключающий доступ к ключевым частям кода на пользовательском уровне
Выпущена ОС Debian 10
Разработчики операционной системы Debian объявили о релизе стабильной 10-й версии, получившей кодовое имя «Buster»
Российскую ОС Astra Linux поставят на смартфоны
В России поступят в продажу первые мобильные устройства на отечественной операционной системе Astra Linux
Российская ОС «Аврора» может сменить Android на смартфонах Huawei
Глава Минкомсвязи Константин Носков и исполнительный директор Huawei Го Пин обсуждали возможный переход смартфонов китайской компании на российскую операционную систему «Аврора»
Перевыполнен план по сбору пожертвований OpenBSD на 2019 год
Разработчики операционной системы OpenBSD перевыполнили план по сбору пожертвований на 2019 год

Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2019 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
Яндекс.Метрика 
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».