Миналата седмица руската антивирусна фирма Doctor Web разкрити новооткрит зловреден софтуер на OS X, известен като Mac.BackDoor.iWorm, който по това време е засегнал приблизително 17 000 машини по целия свят. Въпреки че точният механизъм на заразяване беше неясен, интересен обрат в историята включва компрометирани машини, изпълняващи заявки за търсене в Reddit, за да получат инструкции кои командни и контролни сървъри трябва да се използват за управление на ботнета.
Струва си да се спомене, че за да получи списък с адреси на контролния сървър, ботът използва услугата за търсене на reddit.com и - като заявка за търсене - посочва шестнадесетични стойности на първите 8 байта от хеша MD5 на текущия дата. Търсенето на reddit.com връща уеб страница, съдържаща списък на C&C сървъри и портове на ботнет, публикувани от престъпници в коментари към публикацията minecraftserverlists под акаунта vtnhiaovyd.
Веднъж свързан със сървър за командване и управление, задната врата, отворена от зловреден софтуер в системата на потребителя, може да получава инструкции за изпълнение на различни задачи, от кражба на чувствителна информация до получаване или разпространение на допълнителен зловреден софтуер.
В опит да се справи със заплахата, Apple сега актуализира своята система за защита от зловреден софтуер „Xprotect“, за да разпознае два различни варианта на зловреден софтуер iWorm и да предотврати инсталирането им на машините на потребителите.
За първи път представен с OS X Snow Leopard, Xprotect е елементарна анти-зловреден софтуер система, която разпознава и предупреждава потребителите за наличието на различни видове зловреден софтуер. Предвид относителната рядкост на зловреден софтуер, насочен към OS X, дефинициите на зловреден софтуер се актуализират рядко, въпреки че машините на потребителите автоматично проверяват за актуализации всеки ден. Apple също използва системата Xprotect от време на време, за да наложи минимални изисквания за версии за плъгини като Flash Player и Java, принуждавайки потребителите да надграждат от по-стари версии, за които е известно, че носят значителни рискове за сигурността.
Популярни Публикации