Forrige uke, det russiske antivirusfirmaet Doctor Web avslørt en nyoppdaget del av OS X-malware kjent som Mac.BackDoor.iWorm som på den tiden hadde påvirket omtrent 17 000 maskiner rundt om i verden. Mens den nøyaktige mekanismen for infeksjon var uklar, involverer en interessant vri på historien kompromitterte maskiner som kjører søkespørringer på Reddit for å få instruksjoner om hvilke kommando- og kontrollservere som skal brukes til å administrere botnettet.
Det er verdt å nevne at for å få tak i en kontrollserveradresseliste, bruker boten søketjenesten på reddit.com, og spesifiserer – som et søkeord – heksadesimale verdier av de første 8 bytene av MD5-hashen til gjeldende Dato. Reddit.com-søket returnerer en nettside som inneholder en liste over botnet C&C-servere og -porter publisert av kriminelle i kommentarer til post minecraftserverlistene under kontoen vtnhiaovyd.
Når den er koblet til en kommando- og kontrollserver, kan bakdøren som åpnes av skadelig programvare på brukerens system motta instruksjoner for å utføre en rekke oppgaver, fra å stjele sensitiv informasjon til å motta eller spre ytterligere skadelig programvare.
I et forsøk på å møte trusselen, har Apple nå oppdatert sitt 'Xprotect' anti-malware-system for å gjenkjenne to forskjellige varianter av iWorm-skadevare og forhindre at de installeres på brukernes maskiner.
Xprotect ble først introdusert med OS X Snow Leopard, og er et rudimentært anti-malware-system som gjenkjenner og varsler brukere om tilstedeværelsen av ulike typer skadelig programvare. Gitt den relative sjeldenheten av skadelig programvare rettet mot OS X, oppdateres definisjonene av skadelig programvare sjelden, selv om brukernes maskiner automatisk ser etter oppdateringer på daglig basis. Apple bruker også Xprotect-systemet av og til for å håndheve minimumsversjonskrav for plugin-moduler som Flash Player og Java, og tvinger brukere til å oppgradere fra eldre versjoner som er kjent for å bære betydelige sikkerhetsrisikoer.
Populære Innlegg