Подробности об угрозе Mac.BackDoor.iWorm

Специалистами лаборатории DrWeb была исследована сложная троянская программа Mac.BackDoor.iWorm, которая угрожала компьютерам, работающим на операционной системе Mac OS X. По данным компании, положение дел на 29 сентября этого года – бот-сеть содержала 18 519 инфицированных компьютеров.

Троянец распаковывается в папку /Library/Application Support/JavaW. И устанавливается в автозагрузку под видом приложения com.JavaW.

Набор базовых команд бэкдора для Lua-скриптов позволяет выполнять следующие операции:

  • получение типа ОС;
  • получение версии бота;
  • получение UID бота;
  • получение значения параметра из конфигурационного файла;
  • установка значения параметра в конфигурационном файле;
  • очистка конфигурационных данных от всех параметров;
  • получение времени работы бота (uptime);
  • отправка GET-запроса;
  • скачивание файла;
  • открытие сокета для входящего соединения с последующим выполнением приходящих команд;
  • выполнение системной команды;
  • выполнение паузы (sleep);
  • добавление нода по IP в список «забаненных» узлов;
  • очистка списка «забаненных» нодов;
  • получение списка нодов;
  • получение IP-адреса нода;
  • получение типа нода;
  • получение порта нода;
  • выполнение вложенного Lua-скрипта.

На текущий момент можно говорить о наличии следующих функций (не считая функционал Lua-скриптов):

  • отправка UID;
  • отправка номера открытого порта;
  • добавление в свой список нодов новых ботов (как подключившихся, так и пришедших в команде);
  • ретрансляция трафика (принимаемые данные по одному сокету без изменений передаются на другой);
  • подключение к хосту, указанному в пришедшей команде;
  • выполнение Lua-скриптов.
НОВОСТИ ПО ТЕМЕ

Добавить комментарий

Войти с помощью:  
Имя
E-mail

 

Комментарии к записи Подробности об угрозе Mac.BackDoor.iWorm