Обнаружен новый ботнет для OS X

29.09.2014 19:02

WHT.by

В сентябре вирусные аналитики фирмы «Доктор Веб» изучили сразу несколько новых угроз для операционной системы Apple OS X. Одна из их — это непростой функциональный бэкдор, добавленный в вирусные базы Dr.Web под именованием Mac.BackDoor.iWorm. Бэкдор позволяет делать на инфицированном «маке» широкий набор разных команд, поступивших от злоумышленников. Приобретенные в итоге статистического анализа данные свидетельствуют о наличии более 17 000 уникальных Айпишников инфицированных троянцем «маков».

При разработке данной вредной программы злоумышленники использовали языки программирования С и Lua, при всем этом в архитектуре бэкдора широко применяется тайнопись. В процессе установки троянец распаковывается в папку /Library/Application Support/JavaW, после этого дроппер собирает «на лету» файл plist для обеспечения автоматического запуска этой вредной программы.

В момент первого запуска Mac.BackDoor.iWorm сохраняет свои конфигурационные данные в отдельном файле и пробует прочесть содержимое папки /Library, чтоб получить перечень установленных в системе приложений, с которыми бэкдор не будет в предстоящем вести взаимодействие. Если «нежелательные» директории найти не удается, бот получает с использованием нескольких системных функций наименование домашней папки пользователя OS Х, от имени которого он был запущен, инспектирует наличие в ней своего конфигурационного файла и записывает туда данные, нужные ему для предстоящей работы.

Потом Mac.BackDoor.iWorm открывает на инфицированном компьютере 1 из портов и ждет входящего соединения, посылает запрос на удаленный интернет-ресурс для получения перечня адресов управляющих серверов, после этого подключается к удаленным серверам и ждет поступления команд для следующего выполнения.

Примечательно, что за перечнем адресов управляющих серверов бот обращается к поисковому сервису веб-сайта reddit.com, указывая в качестве запроса шестнадцатеричные значения первых 8 б хэш-функции MD5 от текущей даты. По результатам поиска reddit.com дает интернет-страницу со перечнем управляющих серверов ботнета и портов, которые злоумышленники публикуют в виде комментариев к теме minecraftserverlists от имени пользователя vtnhiaovyd.

Троянец пробует установить соединение с командными серверами, перебирая в случайном порядке 1-ые 29 адресов из приобретенного перечня и отправляя запросы на любой из их. Повторные запросы к веб-сайту reddit для получения нового списка отправляются раз в 5 минут.

В процессе установки соединения с управляющим сервером, адрес которого выбирается из перечня по специальному методу, троянец пробует найти, не добавлен ли этот адрес в перечень исключений, и обменивается с ним особым набором данных, по которым с использованием ряда сложных математических преобразований проверяется подлинность удаленного узла. Если проверка прошла удачно, бот посылает на удаленный сервер номер открытого на инфицированном компьютере порта и свой уникальный идентификатор, ждя в ответ поступления управляющих команд.