В сентябре 2014 годы вирусные аналитики фирме «Доктор Веб» изучали сейчас капельку новеньких опасностей для операционной системы Apple Mac OS X. Одна из них — это непростой функциональный бэкдор, добавленный в вирусные основы под именованием Mac.BackDoor.iWorm. эта программа дает возможность скорпулезно на инфицированном «маке» машистый комплект многочисленных команд, поступивших от злоумышленников. приобретенные в итоге статистического анализа заданные свидетельствуют о наличии перестать менее 17 000 оригинальных айпишников инфицированных троянцем «маков».
При создании заданной вредной программы преступники воспользовались языки программирования С++ так ровно Lua, при конкретно в этом в архитектуре бэкдора машисто используется криптография. В процессе инсталляции троянец распаковывается в папку /Library/Application Support/JavaW, далее чего дроппер коллекционирует «на лету» файл plist для снабжения самодействующего пуска этой вредной программы.
В секунда первого пуска Mac.BackDoor.iWorm предохраняет свои конфигурационные заданные в отдельном файле так ровно старается пробежать содержимое папки /Library, для того чтобы обрести копия поставленных в системе приложений, с которыми бэкдор перестать полно в предстоящем взаимодействовать. коли «нежелательные» директории заприметить перестать удается, бот приобретает с пользованием нескольких системных функций название домашней папки юзера Mac OS Х, от имени коего он был запущен, инспектирует присутствие в ней собственного конфигурационного файла так ровно записывает туда данные, важные ему же для предстоящей работы. потом Mac.BackDoor.iWorm раскрывает на инфицированном персональном персональном компьютере один-одинехонек из портов так ровно ждет входящего соединения, посылает запрос на удаленный интернет-ресурс для получения перечня адресов управляющих серверов, далее чего подключается к удаленным серверам так ровно ждет поступления команд для дальнейшего выполнения. Примечательно, ровно за перечнем адресов управляющих серверов бот обращается к поисковому сервису веб-сайта reddit.com, указывая в качестве запроса шестнадцатеричные смысла первых 8 б хэш-функции MD5 от текущей даты. По результатам розыска reddit.com дает интернет-страницу со перечнем управляющих серверов ботнета так ровно портов, коие преступники публикуют в облике комментариев к теме minecraftserverlists от имени юзера vtnhiaovyd:
Троянец старается обусловить слияние с командными серверами, перебирая в случайном порядке 1-ые 29 адресов из приобретенного перечня так ровно посылая требования на всякий из них. Повторные требования к медиа-сайту reddit для получения новейшего перечня отправляются как-то в 5 минут.
В процессе инсталляции соединения с управляющим сервером, адресок коего выбирается из перечня по особому алгоритму, троянец старается определить, перестать добавлен ли данный адресок в копия исключений, так ровно обменивается с ним особым набором данных, по коим с пользованием ряда сложных математических преобразований проверяется подлинность удаленного узла. коли испытание прошла успешно, бот посылает на удаленный сервер номер раскрытого на инфицированном персональном персональном компьютере порта так ровно близкий неповторимый идентификатор, ждя в отзыв поступления управляющих команд.
Mac.BackDoor.iWorm в силах скорпулезно 2 своего рода команд: всевозможные директивы в зависимости от поступивших бинарных заданных или же Lua-скрипты. комплект базисных команд бэкдора для Lua-скриптов дает возможность скорпулезно надлежащие операции:
получение своего рода ОС;
получение версии бота;
получение UID бота;
получение смысла параметра из конфигурационного файла;
установка смысла параметра в конфигурационном файле;
очистка конфигурационных заданных от любых параметров;
получение времени работы бота (uptime);
отправка GET-запроса;
скачивание файла;
открытие сокета для входящего соединения с следующим выполнением приходящих команд;
выполнение системной команды;
выполнение передышки (sleep);
добавление нода по IP в копия «забаненных» узлов;
очистка перечня «забаненных» нодов;
получение перечня нодов;
получение айпишники нода;
получение своего рода нода;
получение порта нода;
выполнение вложенного Lua-скрипта.
Собранная специалистами фирме «Доктор Веб» статистика показывает, ровно в бот-сети, сотворенной злодеями с пользованием Mac.BackDoor.iWorm, на 29 сентября 2014 годы насчитывалось 17 658 айпишников зараженных устройств. максимальное них численность — 4610 (что составляет 26.1% от общего числа) приходится на долю США, на втором месте — Канада с показателем 1235 адресов (7 %), третье точка занимает Великобритания: тут как тут выявлено 1227 айпишников инфицированных компьютеров, ровно составляет 6.9% от них общего числа. Географическое распределение бот-сети Mac.BackDoor.iWorm по состоянию на точка сентября 2014 годы показано на последующей иллюстрации:
Запись для заданной вредной программы добавлена в вирусные базы, потому Mac.BackDoor.iWorm перестать воображает угрозы для юзеров Apple-совместимых компьютеров, на коих установлен Антивирус Dr.Web для Mac OS X.
НОВОЕ НА САЙТЕ
23 апреля 2024 года
Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
The post
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web