Скидки от MDLavka продолжаются!

Вы пишете в комментариях, что хотите купить из техники Apple, и мы делаем вам индивидуальное предложение, от которого сложно отказаться!

«Доктор Веб» обнаружил ботнет из 17 000 компьютеров Mac

«Доктор Веб» объявил об обнаружении сложного многофункционального бэкдора для Mac OS X. Вредоносное приложение было добавлено в вирусные базы под именем Mac.BackDoor.iWorm. Программа позволяет выполнять на инфицированном «маке» широкий набор различных команд, поступивших от злоумышленников. По данным компании, свыше 17 000 компьютеров Mac инфицированы данным троянцем.

Messages-for-OS-X-1

В момент первого запуска Mac.BackDoor.iWorm сохраняет свои конфигурационные данные в отдельном файле и пытается прочитать содержимое папки /Library, чтобы получить список установленных в системе приложений, рассказали специалисты «Доктора Веб». Если «нежелательные» директории обнаружить не удается, бот получает с использованием нескольких системных функций наименование домашней папки пользователя OS Х, от имени которого он был запущен, проверяет наличие в ней своего конфигурационного файла и записывает туда данные, необходимые ему для дальнейшей работы. Затем Mac.BackDoor.iWorm открывает на инфицированном компьютере один из портов и ожидает входящее соединение, отправляет запрос на удаленный интернет-ресурс и ожидает поступления команд для последующего выполнения.

Троянец пытается установить соединение с командными серверами, перебирая в случайном порядке первые 29 адресов из полученного списка и отправляя запросы на каждый из них. Повторные запросы для получения нового перечня отправляются раз в 5 минут.

В процессе установки соединения с управляющим сервером, адрес которого выбирается из списка по специальному алгоритму, троянец пытается определить, не добавлен ли этот адрес в список исключений, и обменивается с ним специальным набором данных, по которым с использованием ряда сложных математических преобразований проверяется подлинность удаленного узла. Если проверка прошла успешно, бот отправляет на удаленный сервер номер открытого на инфицированном компьютере порта и свой уникальный идентификатор, ожидая в ответ поступления управляющих команд.

Dr-web-1

Mac.BackDoor.iWorm способен выполнять два типа команд: различные директивы в зависимости от поступивших бинарных данных или Lua-скрипты.

Собранная специалистами компании «Доктор Веб» статистика показывает, что в бот-сети, созданной злоумышленниками с использованием Mac.BackDoor.iWorm, на конец сентября насчитывалось 17 658 IP-адресов зараженных устройств. Наибольшее их количество — 4610 (что составляет 26,1% от общего числа) приходится на долю США, на втором месте — Канада с показателем 1235 адресов (7%), третье место занимает Великобритания: здесь выявлено 1227 IP-адресов инфицированных компьютеров (6,9%).

Следите за новостями Apple в нашем Telegram-канале, а также в приложении MacDigger на iOS.

Присоединяйтесь к нам в Twitter, ВКонтакте, Facebook, Google+ или через RSS, чтобы быть в курсе последних новостей из мира Apple, Microsoft и Google.

1 комментариев