Обнаружен новый ботнет для OS X
Новости Новости НеWindows
В сентябре вирусные аналитики компании «Доктор Веб» исследовали сразу несколько новых угроз для операционной системы Apple OS X. Одна из них — это сложный многофункциональный бэкдор, добавленный в вирусные базы Dr.Web под именем Mac.BackDoor.iWorm. Бэкдор позволяет выполнять на инфицированном «маке» широкий набор различных команд, поступивших от злоумышленников. Полученные в результате статистического анализа данные свидетельствуют о наличии более 17 000 уникальных IP-адресов инфицированных троянцем «маков».
При создании данной вредоносной программы злоумышленники использовали языки программирования С++ и Lua, при этом в архитектуре бэкдора широко применяется криптография. В процессе установки троянец распаковывается в папку /Library/Application Support/JavaW, после чего дроппер собирает «на лету» файл plist для обеспечения автоматического запуска этой вредоносной программы.
В момент первого запуска Mac.BackDoor.iWorm сохраняет свои конфигурационные данные в отдельном файле и пытается прочитать содержимое папки /Library, чтобы получить список установленных в системе приложений, с которыми бэкдор не будет в дальнейшем взаимодействовать. Если «нежелательные» директории обнаружить не удается, бот получает с использованием нескольких системных функций наименование домашней папки пользователя OS Х, от имени которого он был запущен, проверяет наличие в ней своего конфигурационного файла и записывает туда данные, необходимые ему для дальнейшей работы.
Затем Mac.BackDoor.iWorm открывает на инфицированном компьютере один из портов и ожидает входящего соединения, отправляет запрос на удаленный интернет-ресурс для получения списка адресов управляющих серверов, после чего подключается к удаленным серверам и ожидает поступления команд для последующего выполнения.
Примечательно, что за списком адресов управляющих серверов бот обращается к поисковому сервису сайта reddit.com, указывая в качестве запроса шестнадцатеричные значения первых 8 байт хэш-функции MD5 от текущей даты. По результатам поиска reddit.com отдает веб-страницу со списком управляющих серверов ботнета и портов, которые злоумышленники публикуют в виде комментариев к теме minecraftserverlists от имени пользователя vtnhiaovyd.
Троянец пытается установить соединение с командными серверами, перебирая в случайном порядке первые 29 адресов из полученного списка и отправляя запросы на каждый из них. Повторные запросы к сайту reddit для получения нового перечня отправляются раз в 5 минут.
В процессе установки соединения с управляющим сервером, адрес которого выбирается из списка по специальному алгоритму, троянец пытается определить, не добавлен ли этот адрес в список исключений, и обменивается с ним специальным набором данных, по которым с использованием ряда сложных математических преобразований проверяется подлинность удаленного узла. Если проверка прошла успешно, бот отправляет на удаленный сервер номер открытого на инфицированном компьютере порта и свой уникальный идентификатор, ожидая в ответ поступления управляющих команд.
16.12.2023 21:50
В реестр Минцифры включили Atol OS
Минцифры включило в отечественный реестр программного обеспечения первую российскую операционную систему, предназначенную для платежных кассовых терминалов
|
16.12.2023 21:50
В реестр Минцифры включили Atol OS
Минцифры включило в отечественный реестр программного обеспечения первую российскую операционную систему, предназначенную для платежных кассовых терминалов
16.05.2023 19:07
Выпущена анонимная операционная система Tails 5.13
Tails — операционная система, ориентированная на обеспечение приватности и анонимности пользователя. Известна тем, что использовалась Эдвардом Сноуденом при разоблачении программы PRISM
Ищете, где скачать бесплатные программы?
Скачать бесплатные программы для компьютера на Windows и смартфона на iOS или Android можно на Софтодроме. На данный момент в каталоге Софтодрома представлено более 13 000 бесплатных программ для Windows, iOS, Android и Linux.
|
|
Все рубрики статей (2274 / 189):
|
|