Эксперты сообщили о ботнете для Mac OS X

Эксперты компании «Доктор Веб»  сообщили  о сложном многофункциональном бэкдоре Mac.BackDoor.iWorm, разработанном для Apple Mac OS X, который к настоящему времени инфицировал свыше 17 тыс. систем. При инсталляции вредоносное ПО распаковывается в папку /Library/Application Support/JavaW, а дроппер собирает файл plist для автоматического запуска.

При первом запуске конфигурационные данные бэкдора сохраняются в отдельном файле. Далее вредонос сканирует папку /Library на наличие приложений, с которыми он не будет взаимодействовать. В случае, если боту не удается их обнаружить, он получает наименование домашней папки пользователя Mac OS Х, от имени которого был запущен. В папке вредонос находит свой конфигурационный файл и записывает туда необходимую для дальнейшей активности информацию.

Открыв на инфицированном Mac один из портов, Mac.BackDoor.iWorm отправляет к поисковому сервису сайта reddit.com запрос на получение списков серверов, подключается к ним и ожидает дальнейших команд. Стоит отметить, что вредонос направляет запросы в виде шестнадцатеричных значений первых 8 байт хэш-функции MD5 от текущей даты. Список серверов затем публикуется в виде комментария в теме minecraftserverlists от имени пользователя vtnhiaovyd.

По данным «Доктор Веб», данное вредоносное ПО выполняет команды двух типов - различные директивы в зависимости от поступивших бинарных данных или Lua-скрипты. Среди прочего, Mac.BackDoor.iWorm способен получать тип ОС, получать и устанавливать значения параметра в конфигурационном файле, очищать конфигурационные данные от всех параметров, отправлять GET—запросы, скачивать файлы и т. д.