Новость дня: Российский изобретатель подал в суд на Apple, Huawei и Samsung

Обнаружен новый ботнет для OS X



Обнаружен новый ботнет для OS X


В сентябре вирусные аналитики компании «Доктор Веб» исследовали сразу несколько новых угроз для операционной системы Apple OS X. Одна из них — это сложный многофункциональный бэкдор, добавленный в вирусные базы Dr.Web под именем Mac.BackDoor.iWorm. Бэкдор позволяет выполнять на инфицированном «маке» широкий набор различных команд, поступивших от злоумышленников. Полученные в результате статистического анализа данные свидетельствуют о наличии более 17 000 уникальных IP-адресов инфицированных троянцем «маков».

При создании данной вредоносной программы злоумышленники использовали языки программирования С++ и Lua, при этом в архитектуре бэкдора широко применяется криптография. В процессе установки троянец распаковывается в папку /Library/Application Support/JavaW, после чего дроппер собирает «на лету» файл plist для обеспечения автоматического запуска этой вредоносной программы.

В момент первого запуска Mac.BackDoor.iWorm сохраняет свои конфигурационные данные в отдельном файле и пытается прочитать содержимое папки /Library, чтобы получить список установленных в системе приложений, с которыми бэкдор не будет в дальнейшем взаимодействовать. Если «нежелательные» директории обнаружить не удается, бот получает с использованием нескольких системных функций наименование домашней папки пользователя OS Х, от имени которого он был запущен, проверяет наличие в ней своего конфигурационного файла и записывает туда данные, необходимые ему для дальнейшей работы.

Затем Mac.BackDoor.iWorm открывает на инфицированном компьютере один из портов и ожидает входящего соединения, отправляет запрос на удаленный интернет-ресурс для получения списка адресов управляющих серверов, после чего подключается к удаленным серверам и ожидает поступления команд для последующего выполнения.

Примечательно, что за списком адресов управляющих серверов бот обращается к поисковому сервису сайта reddit.com, указывая в качестве запроса шестнадцатеричные значения первых 8 байт хэш-функции MD5 от текущей даты. По результатам поиска reddit.com отдает веб-страницу со списком управляющих серверов ботнета и портов, которые злоумышленники публикуют в виде комментариев к теме minecraftserverlists от имени пользователя vtnhiaovyd.

Троянец пытается установить соединение с командными серверами, перебирая в случайном порядке первые 29 адресов из полученного списка и отправляя запросы на каждый из них. Повторные запросы к сайту reddit для получения нового перечня отправляются раз в 5 минут.

В процессе установки соединения с управляющим сервером, адрес которого выбирается из списка по специальному алгоритму, троянец пытается определить, не добавлен ли этот адрес в список исключений, и обменивается с ним специальным набором данных, по которым с использованием ряда сложных математических преобразований проверяется подлинность удаленного узла. Если проверка прошла успешно, бот отправляет на удаленный сервер номер открытого на инфицированном компьютере порта и свой уникальный идентификатор, ожидая в ответ поступления управляющих команд.


Автор: Softodrom.ru
Дата:
31.03.2021 19:21

Выпущена первая стабильная версия AlmaLinux OS

Дистрибутив AlmaLinux OS развивается командой CloudLinux и сохраняет совместимость с программами, написанными для Red Hat Enterprise Linux


31.03.2021 18:46

Apple объявила дату презентации новых операционных систем

Ежегодная всемирная конференция для разработчиков на платформах Apple (WWDC) в этом году вновь будет проходить в онлайн-формате


17.03.2021 20:55

Компания SUSE становится публичной и выходит на биржу

Компания SUSE, занимающаяся разработкой Linux-дистрибутива openSUSE, заявила о планах стать публичной путем размещения своих акций на бирже


23.02.2021 21:59

Выпущена операционная система Tails 4.16

Tails — операционная система, ориентированная на обеспечение приватности и анонимности пользователя


25.01.2021 17:35

Red Hat Enterprise Linux стал бесплатным для малого бизнеса

Компания Red Hat изменила условия бесплатного использования полнофункциональной системы Red Hat Enterprise Linux


Популярное:
Новости НеWindows
18.12.2004 00:00

Студенты обнаружили десятки ошибок в Unix-ПО

Студенты специалиста по вычислительной технике Даниеля Бернштейна обнаружили 44 уязвимости в различных Unix-приложениях


11.06.2004 00:00

Вновь обнаруженные ошибки угрожают безопасности хранилища кода open source

Специалисты выявили, по крайней мере, шесть новых пробелов в защите самой популярной в мире открытого ПО программе для управления кодом в процессе разработки


26.10.2004 00:00

Ошибка в ядре Linux создает условия для DoS-атак

Баг, обнаруженный в версии 2.6 ядра Linux, позволяет удаленным пользователям выводить из строя системы с последней версией корпоративного и потребительского ПО SuSE


09.08.2004 00:00

Linux нарушает 283 патента?

Как утверждает организация, которая продает пользователям и продавцам Linux страховку от судебного преследования за нарушение интеллектуальной собственности, Linux потенциально нарушает 283 патента, 27 из которых принадлежат Microsoft, однако ни одно из этих нарушений не подтверждено решением суда


10.06.2004 00:00

Баг в новой версии Red Hat Linux прячет Windows

Последняя версия операционной системы Red Hat Linux для энтузиастов и разработчиков Fedora Core 2 стала проблематичной — некоторые пользователи обнаружили, что после установки апгрейда Linux может не запуститься Windows


stealth
stealth, 29.09.2014 21:40
Грите, Маки вирусам не подвержены? Ну-ну...
» Прочитать остальные / Написать свой комментарий

Все рубрики статей:
Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2021 Softodrom.ru
О проекте | О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | Карта сайта
Яндекс.Метрика