Minulý týden ruská antivirová firma Doctor Web zveřejněno nově objevený kousek malwaru OS X známý jako Mac.BackDoor.iWorm, který v té době zasáhl zhruba 17 000 počítačů po celém světě. I když přesný mechanismus infekce nebyl jasný, zajímavý obrat v příběhu zahrnuje kompromitované stroje spouštějící vyhledávací dotazy na Redditu, aby získaly pokyny o tom, které příkazové a řídicí servery by měly být použity ke správě botnetu.
Stojí za zmínku, že k získání seznamu adres řídicího serveru bot používá vyhledávací službu na reddit.com a jako vyhledávací dotaz specifikuje šestnáctkové hodnoty prvních 8 bajtů hash MD5 aktuálního datum. Vyhledávání reddit.com vrátí webovou stránku obsahující seznam serverů a portů botnet C&C publikovaných zločinci v komentářích k příspěvku minecraftserverlists pod účtem vtnhiaovyd.
Po připojení k příkazovému a řídicímu serveru mohou zadní vrátka otevřená malwarem v systému uživatele přijímat pokyny k provádění různých úkolů, od krádeže citlivých informací až po příjem nebo šíření dalšího malwaru.
Ve snaze čelit této hrozbě nyní Apple aktualizoval svůj antimalwarový systém „Xprotect“, aby rozpoznal dvě různé varianty malwaru iWorm a zabránil jejich instalaci na počítače uživatelů.
Xprotect, který byl poprvé představen s OS X Snow Leopard, je základní antimalwarový systém, který rozpoznává a upozorňuje uživatele na přítomnost různých typů malwaru. Vzhledem k relativní vzácnosti malwaru zaměřeného na OS X jsou definice malwaru aktualizovány zřídka, ačkoli počítače uživatelů denně automaticky vyhledávají aktualizace. Apple také příležitostně používá systém Xprotect k vynucení požadavků na minimální verzi zásuvných modulů, jako je Flash Player a Java, a nutí uživatele upgradovat ze starších verzí, o nichž je známo, že s sebou nesou významná bezpečnostní rizika.
Populární Příspěvky