Den russiske baserede antivirus selskab Dr. Web har identificeret en Reddit-drevne Mac OS X botnet, der har inficeret tusindvis af kompromitterede computere. Ifølge sikkerhedseksperter, botnettet har inficeret mere end 18 000 Mac'er af september 29.
Hvad er Mac OS X botnet?
Eksperterne fra DR. Web antivirus selskab rapporterede en spredning af en ny botnet bygget på bagsiden af malware Mac.BackDoor.iWorm. Det blev beregnet, at mere end 18 500 unikke IP-adresser er blevet brugt af de inficerede computere for at oprette forbindelse til botnet. Næsten fjerdedel af computerne er baseret i USA, efterfulgt af computere i Canada og i UK.
Målene for den nye botnet er primært Apple-computere, der kører Mac OS X. Det er underligt at nævne, at Mac.BackDoor.iWorm malware bruger en Reddit stillinger at søge til en Minecraft server liste, der er sub-Reddit til IP-adresser hentning for sin kommando og kontrol netværk. De sikkerhedsforanstaltninger, har forskere fundet ud af, at sub-Reddit er slettet fra C&C-data og kontoen ansvarlig for udstationering data ser ud til at blive lukket ned.
Mac OS X botnet Distribution
Mac.BackDoor.iWorm malware blev udviklet ved hjælp af Lua og C og bruger kryptering i sine rutiner. Når malware oprindelig lanceret, konfigurationen data gemmes i en separat fil, og den forsøger at læse indholdet af biblioteket bibliotek, for at vide, hvilke installerede applikationer malware er at undgå.
Rapporten offentliggøres af eksperterne fra dr. Web giver ikke oplysninger om, hvordan Mac.BackDoor.iWorm fordeles til malware ofre. Rapporten påpeger, at programmet installerer malware til biblioteket biblioteket ved den konto hjemmemappen på den pågældende bruger. Den malware er yderligere forklædt som javaw ansøgning støtte bibliotek. Derefter, pipetten genererer en OS X p-liste-fil, der er forklædt som ansøgningen com.JavaW og tillader automatisk start gennem / Library / LaunchDaemons / af bot, hver gang systemet startes.
Hvordan virker Mac OS X botnet Affect brugerens computer?
BOT malware søger efter et sted på biblioteket mappe på den bruger til at gemme en konfigurationsfil og derefter gør en forbindelse til søgesiden på Reddit. Den bot bruger derefter en MD5 hash-algoritme for at indkode den aktuelle dato. Den anvender også den første 8 bytes at søge Reddit s MineCraftServer liste, hvor de legitime indlæg var over et år gammel.
En nyligt gennemført undersøgelse af de seneste servere, der er blevet identificeret i sub-reddit af Ars, har fundet ud af at de fleste af deres IP-adresser er placeret på kompromitterede systemer. Eksperterne siger, at det er usandsynligt, at botnettet at være helt lukket ned. Mac OS X malware kan hente yderligere filer og udføre kommandoer på de inficerede systemer. Det er derfor, eksperterne siger, at en ny version af denne botnet kan være allerede eksisterende og spredning med anden malware. I øjeblikket, både dr. Web og Bitdefender eksperter har opdaget varianter af botnet.
Det bør anføres, at Reddit ikke spreder smitten; det tilbyder en platform for forfatterne af bot at kommunikere med Mac-computere, de har allerede formået at inficere.
Mac OS X botnet - detektion og beskyttelse
Mac-ejere kan forsvare sig mod malware. Jacob Salmela, en udvikler, har bogført beskrivende instruktioner om, hvordan du opretter et sæt af OS X mappekommandoer, som vil informere brugeren hvis hans system er inficeret.