В сентябре 2014 лета вирусные аналитики корпорации «Доктор Веб» изучали моментально немножко новеньких опасностей для операционной системы Apple Mac OS X. Одна из них — это непростой функциональный бэкдор, добавленный в вирусные основы под именованием Mac.BackDoor.iWorm. заданная программа дает возможность скорпулезно исполнять на инфицированном «маке» обширный комплект самых разных команд, поступивших от злоумышленников. приобретенные в итоге статистического анализа заданные свидетельствуют о наличии наиболее 17 000 необычных айпишников инфицированных троянцем «маков».
При создании предоставленной вредной программы преступники применяли языки программирования С++ так как Lua, при данном в архитектуре бэкдора обширно используется криптография. В процессе инсталляции троянец распаковывается в папку /Library/Application Support/JavaW, потом чего дроппер коллекционирует «на лету» файл plist для снабжения самодействующего пуска этой вредной программы.
В миг первого пуска Mac.BackDoor.iWorm предохраняет свои конфигурационные заданные в отдельном файле так как старается прочесть содержимое папки /Library, дабы обрести перечень поставленных в системе приложений, с которыми бэкдор перестать станет в предстоящем взаимодействовать. коли «нежелательные» директории явить перестать удается, бот приобретает с внедрением нескольких системных функций прозвание домашней папки юзера Mac OS Х, от имени коего он был запущен, испытывает присутствие в ней собственного конфигурационного файла так как записывает туда данные, важные ему же для предстоящей работы. засим Mac.BackDoor.iWorm раскрывает на инфицированном персональном персональном компьютере одинаковый из портов так как ждет входящего соединения, посылает запрос на удаленный интернет-ресурс для получения перечня адресов управляющих серверов, потом чего подключается к удаленным серверам так как ждет поступления команд для следующего выполнения. Примечательно, как за перечнем адресов управляющих серверов бот обращается к поисковому сервису веб-сайта reddit.com, указывая в качестве запроса шестнадцатеричные смысла первых 8 б хэш-функции MD5 от текущей даты. По результатам розыска reddit.com дает интернет-страницу со перечнем управляющих серверов ботнета так как портов, коие преступники публикуют в облике комментариев к теме minecraftserverlists от имени юзера vtnhiaovyd:
Троянец старается учредить сплетение с командными серверами, перебирая в случайном порядке 1-ые 29 адресов из приобретенного перечня так как посылая требования на любой из них. Повторные требования к веб-сайту reddit для получения новейшего перечня отправляются как-то в 5 минут.
В процессе инсталляции соединения с управляющим сервером, адресок коего выбирается из перечня по особому алгоритму, троянец старается определить, перестать добавлен ли данный адресок в перечень исключений, так как обменивается с ним особым набором данных, по коим с внедрением ряда сложных математических преобразований проверяется подлинность удаленного узла. коли испытание прошла успешно, бот посылает на удаленный сервер номер раскрытого на инфицированном персональном персональном компьютере порта так как личный редкий идентификатор, ждя в отклик поступления управляющих команд.
Mac.BackDoor.iWorm в силах скорпулезно исполнять плохо своего рода команд: разные директивы в зависимости от поступивших бинарных заданных либо Lua-скрипты. комплект базисных команд бэкдора для Lua-скриптов дает возможность скорпулезно исполнять последующие операции:
получение своего рода ОС;
получение версии бота;
получение UID бота;
получение смысла параметра из конфигурационного файла;
установка смысла параметра в конфигурационном файле;
очистка конфигурационных заданных от любых параметров;
получение времени работы бота (uptime);
отправка GET-запроса;
скачивание файла;
открытие сокета для входящего соединения с следующим выполнением приходящих команд;
выполнение системной команды;
выполнение передышки (sleep);
добавление нода по IP в перечень «забаненных» узлов;
очистка перечня «забаненных» нодов;
получение перечня нодов;
получение айпишники нода;
получение своего рода нода;
получение порта нода;
выполнение вложенного Lua-скрипта.
Собранная специалистами корпорации «Доктор Веб» статистика показывает, как в бот-сети, сотворенной злодеями с внедрением Mac.BackDoor.iWorm, на 26 сентября 2014 лета насчитывалось 17 658 айпишников зараженных устройств. максимальное них число — 4610 (что составляет 26.1% от общего числа) приходится на долю США, на втором месте — Канада с показателем 1235 адресов (7 %), третье местность занимает Великобритания: тут выявлено 1227 айпишников инфицированных компьютеров, как составляет 6.9% от них общего числа. Географическое распределение бот-сети Mac.BackDoor.iWorm по состоянию на окончание сентября 2014 лета показано на последующей иллюстрации:
Запись для предоставленной вредной программы добавлена в вирусные базы, таким образом Mac.BackDoor.iWorm перестать воображает угрозы для юзеров Apple-совместимых компьютеров, на коих установлен Антивирус Dr.Web для Mac OS X.
НОВОЕ НА САЙТЕ
23 апреля 2024 года
Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
The post
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web