ロシアを拠点とするウイルス対策会社Dr. WebはRedditを利用したMacOSXボットネットを特定しました, 何千もの侵害されたコンピューターに感染しました. セキュリティ研究者によると, ボットネットは以上に感染しています 18 000 9月29日現在のMac.
MacOSXボットネットとは?
博士からの専門家. Webウイルス対策会社は、マルウェアMac.BackDoor.iWormの背後に構築された新しいボットネットの拡散を報告しました. 以上が計算されました 18 500 ボットネットに接続するために、感染したコンピューターによって一意のIPアドレスが使用されています. コンピューターのほぼ4分の1は米国を拠点としています, 続いてカナダと英国のコンピューター.
新しいボットネットのターゲットは主にAppleコンピュータです, MacOSXを実行している. Mac.BackDoor.iWormマルウェアがMinecraftサーバーリストへのReddit投稿検索を使用していることに言及するのは不思議です, これは、コマンドアンドコントロールネットワークのIPアドレス検索にサブredditです. セキュリティ研究者は、サブredditがCから消去されていることを発見しました&Cデータとデータの投稿を担当するアカウントがシャットダウンされているようです.
MacOSXボットネット配布
Mac.BackDoor.iWormマルウェアは、LuaとC ++を使用して開発され、ルーチンで暗号化を使用しています. マルウェアが最初に起動されたとき, 構成データは別のファイルに保存され、ライブラリディレクトリの内容を読み取ろうとします, インストールされているアプリケーションを知るために、マルウェアは回避する必要があります.
Drの専門家が発表したレポート. Webは、Mac.BackDoor.iWormがマルウェアの被害者にどのように配布されているかについての情報を提供していません. レポートは、プログラムが影響を受けるユーザーのアカウントホームフォルダのライブラリディレクトリにマルウェアをインストールすることを指摘しています. マルウェアはさらにJavaWアプリケーションサポートディレクトリに偽装されています. それで, ドロッパーは、アプリケーションcom.JavaWを装ったOS X p-listファイルを生成し、システムが起動するたびにボットの/ Library /LaunchDaemons/を介して自動起動できるようにします.
MacOSXボットネットはユーザーのコンピュータにどのように影響しますか?
ボットマルウェアは、ユーザーのLibraryフォルダーで構成ファイルを保存する場所を検索し、Redditの検索ページに接続します。. 次に、ボットは現在の日付をエンコードするためにMD5ハッシュアルゴリズムを使用します. それはまた最初を使用します 8 RedditのMineCraftServerリストを検索するためのバイト, 正当な投稿が1年以上前のもの.
Arsによってsub-redditで特定された最新のサーバーについて新たに実施された調査, 彼らのIPアドレスのほとんどが侵害されたシステムに配置されていることがわかりました. 専門家によると、ボットネットが完全にシャットダウンされる可能性は低いとのことです。. Mac OS Xマルウェアは、感染したシステムで追加のファイルをダウンロードしてコマンドを実行する可能性があります. そのため、専門家は、このボットネットの新しいバージョンがすでに存在し、他のマルウェアとともに拡散している可能性があると述べています. 現在, 両方の博士. WebおよびBitdefenderの専門家が、ボットネットの亜種を検出しました.
Redditは感染を広げていないことを述べておく必要があります; ボットの作成者が、すでに感染しているMacコンピューターと通信するためのプラットフォームを提供しています。.
Mac OS Xボットネット–検出と保護
Macの所有者はマルウェアから身を守ることができます. ジェイコブ・サルメラ, 開発者, 一連のOSXフォルダアクションを作成する方法についての説明を投稿しました, システムが感染しているかどうかをユーザーに通知します.
