Обнаружен новый ботнет для OS X



Обнаружен новый ботнет для OS X


В сентябре вирусные аналитики компании «Доктор Веб» исследовали сразу несколько новых угроз для операционной системы Apple OS X. Одна из них — это сложный многофункциональный бэкдор, добавленный в вирусные базы Dr.Web под именем Mac.BackDoor.iWorm. Бэкдор позволяет выполнять на инфицированном «маке» широкий набор различных команд, поступивших от злоумышленников. Полученные в результате статистического анализа данные свидетельствуют о наличии более 17 000 уникальных IP-адресов инфицированных троянцем «маков».

При создании данной вредоносной программы злоумышленники использовали языки программирования С++ и Lua, при этом в архитектуре бэкдора широко применяется криптография. В процессе установки троянец распаковывается в папку /Library/Application Support/JavaW, после чего дроппер собирает «на лету» файл plist для обеспечения автоматического запуска этой вредоносной программы.

В момент первого запуска Mac.BackDoor.iWorm сохраняет свои конфигурационные данные в отдельном файле и пытается прочитать содержимое папки /Library, чтобы получить список установленных в системе приложений, с которыми бэкдор не будет в дальнейшем взаимодействовать. Если «нежелательные» директории обнаружить не удается, бот получает с использованием нескольких системных функций наименование домашней папки пользователя OS Х, от имени которого он был запущен, проверяет наличие в ней своего конфигурационного файла и записывает туда данные, необходимые ему для дальнейшей работы.

Затем Mac.BackDoor.iWorm открывает на инфицированном компьютере один из портов и ожидает входящего соединения, отправляет запрос на удаленный интернет-ресурс для получения списка адресов управляющих серверов, после чего подключается к удаленным серверам и ожидает поступления команд для последующего выполнения.

Примечательно, что за списком адресов управляющих серверов бот обращается к поисковому сервису сайта reddit.com, указывая в качестве запроса шестнадцатеричные значения первых 8 байт хэш-функции MD5 от текущей даты. По результатам поиска reddit.com отдает веб-страницу со списком управляющих серверов ботнета и портов, которые злоумышленники публикуют в виде комментариев к теме minecraftserverlists от имени пользователя vtnhiaovyd.

Троянец пытается установить соединение с командными серверами, перебирая в случайном порядке первые 29 адресов из полученного списка и отправляя запросы на каждый из них. Повторные запросы к сайту reddit для получения нового перечня отправляются раз в 5 минут.

В процессе установки соединения с управляющим сервером, адрес которого выбирается из списка по специальному алгоритму, троянец пытается определить, не добавлен ли этот адрес в список исключений, и обменивается с ним специальным набором данных, по которым с использованием ряда сложных математических преобразований проверяется подлинность удаленного узла. Если проверка прошла успешно, бот отправляет на удаленный сервер номер открытого на инфицированном компьютере порта и свой уникальный идентификатор, ожидая в ответ поступления управляющих команд.

Автор: Softodrom.ru
Дата:
Новые статьи: Новости НеWindows
22.06.2020 23:41

Apple представила iOS 14, iPadOS 14, macOS Big Sur и watchOS 7

На всемирной конференции для разработчиков WWDC 2020 компания Apple представила новые версии своих операционных систем для различных устройств

10.06.2020 18:28

Вышла вторая бета-версия операционной системы Haiku R1

Изначально проект развивался под именем OpenBeOS, но был переименован из-за претензий, связанных с использованием в названии торговой марки BeOS

03.06.2020 05:15

Выпущена операционная система Tails 4.7

Tails — операционная система, ориентированная на обеспечение приватности и анонимности пользователя

01.05.2020 14:25

Разработчики Ubuntu вышли на самообеспечение

Компания Canonical, занимающаяся разработкой и поддержкой популярного Linux-дистрибутива Ubuntu, вышла на самообеспечение

11.04.2020 23:08

Выпущена ReactOS 0.4.13

ReactOS — операционная система, нацеленная на обеспечение совместимости с программами и драйверами Windows

Популярное: Новости НеWindows
17.06.2019 22:20

Российскую ОС Astra Linux поставят на смартфоны

В России поступят в продажу первые мобильные устройства на отечественной операционной системе Astra Linux

25.09.2010 01:03

Тюменские линуксоиды воздвигают памятник Линуксу

Деньги на памятник Линуксу собираются на специальном сайте

27.11.2016 20:44

Вышла ОС Альт Рабочая станция 8.1

Данная ОС была внесена в Единый реестр российских программ и баз данных

21.01.2012 00:26

В Xorg 1.11 и выше выявлена уязвимость в виде ''фичи''

В Xorg версии 1.11 и выше обнаружена "фича", позволяющая, не зная пароля, разблокировать заблокированную систему при помощи комбинации клавиш

02.12.2010 23:56

Мужчины предпочитают Google Android, женщины - Apple iOS

Мужчины предпочитают смартфоны на платформе Google Android, в то время как среди женщин наиболее популярны гаджеты на базе мобильной операционной системы Apple iOS

stealth
stealth, 29.09.2014 21:40
Грите, Маки вирусам не подвержены? Ну-ну...
» Прочитать остальные / Написать свой комментарий

Новости /
Новости НеWindows /
Обнаружен новый ботнет для OS X
Все рубрики статей:
Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2020 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
Яндекс.Метрика