Anslut till Senaste Tekniska Nyheter, Bloggar, Recensioner

iWorm Botnet använder Reddit som Command and Control Center

iWorm Botnet använder Reddit som Command and Control Center

infected-laptop-blog-header

En ny dag och ett nytt hot mot Mac OS X. Virusjägare har upptäckt ett sofistikerat botnet som riktar sig till Mac OS X-datorer och använder en ny teknik för att fungera. Skadlig programvara har infekterat cirka 18 500 Mac-datorer, enligt färsk statistisk analys.

Mac-skadlig programvara, kallad iWorm, använder en komplex bakdörr för flera ändamål, genom vilken brottslingar kan utfärda kommandon som får det skadliga programmet att utföra ett brett utbud av instruktioner på de infekterade Mac-datorerna.

Enligt forskare använder bakdörren omfattande kryptering i sina rutter. Den kan upptäcka vilken annan programvara som är installerad på den infekterade maskinen och skicka ut information om den (operativsystem), öppna en port på den, ladda ner ytterligare filer, vidarebefordra trafik och skicka en fråga till en webbserver för att skaffa adresserna av C & C-servrarna, vilket i princip gör din Mac till en zombie.

Installerar iWorm

Under installationen installerar skadlig programvara först en bakdörr i katalogen / Bibliotek / Application Support / JavaW, varefter dropparen genererar en p-listfil, så att bakdörren startas automatiskt. Dessutom förklarar den sig som applikationen com.JavaW och ställer in sig på autostart via / Library / LaunchDaemons /.

com.JavaW

Analys indikerar att skadlig programvara börjar sätta in sig på din Mac vid första start, spara konfigurationsdata i en separat fil och försöka läsa innehållet i katalogen / Library för att avgöra vilka av de installerade programmen skadlig programvara inte kommer att interagera med . Om botten inte kan hitta ” oönskade ” kataloger, enligt rapporter, använder den systemfrågor för att bestämma hemkatalogen för det Mac OS X-konto under vilken den körs, kontrollerar tillgängligheten av dess konfigurationsfil i katalogen och skriver data behövs för att den ska fortsätta att fungera i filen.

Hur Reddit.com spelade sin roll

Många typer av skadlig programvara använder kommando- och styrservrar som de ansluter till för att få instruktioner från skaparna av skadlig kod. Problemet med att använda dessa servrar är att deras IP-adresser anges i skadlig kod och att servrarna i allmänhet kan tas bort.

Det som är särskilt intressant med iWorm är att botnet använder en ny teknik för att använda: den använder reddit.com. Infekterade Mac-datorer tar emot kommandon från servrar under kontroll av cyberbrottslingar, med information som publiceras i meddelanden på Reddit för att skaffa en adressserver för kontrollserver:

Sedan öppnar Mac.BackDoor.iWorm en port på en infekterad dator och väntar på en inkommande anslutning. Den skickar en begäran till en fjärrplats för att skaffa en lista över styrservrar och ansluter sedan till fjärrservrarna och väntar på instruktioner.

Intressant, för att skaffa en adressserverlista för kontroll använder boten söktjänsten på reddit.com. Den skickar en sökfråga som anger hexadecimala värden för de första 8 bytes av MD5-hash för det aktuella datumet. Reddit.com-sökningen returnerar en webbsida som innehåller en lista över botnet C&C-servrar och -portar som publicerats av brottslingar i kommentarer till inlägget minecraftserverlists under kontot vtnhiaovyd.

iWork Malware använder Reddit.com

Bot väljer en slumpmässig server från de 29 adresserna i listan och skickar frågor till var och en av dem. Sökförfrågningar för att skaffa listan skickas till reddit.com i fem minuters intervall, enligt Dr. Webs rapport.

Under upprättandet av en anslutning till servern vars adress väljs från listan med hjälp av en speciell rutin försöker bakdörren att avgöra om serveradressen finns på undantagslistan och engagerar sig i ett datautbyte med servern för att använda speciella rutiner för autentisering av fjärrkontrollen. värd. Om det lyckas skickar bakdörren serverinformation om den öppna porten på den infekterade maskinen och dess unika ID och väntar på direktiv.

Det är viktigt att notera att Reddit inte är direkt fel, och det verkar som att reddit.com/r/minecraftserverlists har stängts av. (Intego-malware-forskare kan inte få bestående filer på sina system på grund av att sidan stängs av.) Om det är den enda källan som brottslingar använder för C&C, är de döda i vattnet.

Men som Graham Cluley noterade på sin blogg finns det inget som hindrar hackarna från att använda en alternativ tjänst, som Twitter, för att kommunicera med Mac botnet. Graham skrev:

Och det är viktigt att betona att Reddit inte sprider infektionen – det är helt enkelt en plattform som hjälper botmästarna att kommunicera med de Mac-datorer de har lyckats infektera.

Information som samlats in av doktor Webs forskare visar att de flesta av de infekterade Mac-datorerna – 4 610, som representerar 26,1% av botnet – är bosatta i USA. Kanada hamnar på andra plats och Storbritannien ligger på tredje plats när det gäller infekterade Mac-datorer.

iWorm global infektion

Hur man kontrollerar om du är smittad

Enligt forskning installerar iWorm botnet sig själv på följande två platser:

/Library/Application Support/JavaW
/Library/LaunchDaemons

För att kontrollera om du är infekterad, öppna Finder-fönstret och välj Go-menyn och välj sedan “Gå till mapp.”

Gå till Mapp

Kopiera och förbi följande till fönstret som öppnas:

/ Bibliotek / Applikationsstöd / JavaW

Klicka sedan på Go-knappen. Om fönstret visar meddelandet “Mappen kan inte hittas” i det nedre vänstra hörnet bör du vara säker.

gå till JavaW-mappen

Men som nämnts av Thomas Reed på The Safe Mac, om ett Finder-fönster öppnas som visar innehållet i den här mappen är du infekterad.

Håll dig ett steg före

Om du efter att ha kört testet ovan upptäcker att du inte är infekterad kan du vidta försiktighetsåtgärder som gör att du kan få en popup-varning om ett nytt objekt läggs till någon av de platser som iWorm-skadlig programvara installerar sig på.

För att göra det, öppna Finder, välj Gå till mapp på Go-menyn och kopiera sedan och klistra in följande sökväg i fönstret som dyker upp:

/ Bibliotek / LaunchDaemons

Klicka sedan på Go-knappen.

Du kommer till mappen LaunchDaemons; högerklicka på mappen och välj Inställningar för mappåtgärder.

Inställning av mappåtgärder

Välj skriptet “lägg till – nytt objekt alert.scpt” och klicka på Bifoga-knappen.

Markera sedan kryssrutan för att aktivera mappåtgärder.

Aktivera mappåtgärder

Upprepa om möjligt dessa steg för / Library / Application Support / JavaW.

Om ett nytt objekt nu läggs till någon av dessa platser får du en popup-varning. Observera att när du lägger till varningar i mapparna är inte alla filer som läggs till en indikation på iWorm eller skadlig kod i allmänhet. Du måste inspektera filen och se om det finns referenser till JavaW.

Om du efter att ha granskat filen hittar en referens till JavaW, vidta omedelbara åtgärder för att utrota skadlig kod.

Hur man utraderar skadlig programvara iWorm

När Mac-säkerhetshotlandskapet utvecklas är det alltid så viktigt att skydda din dator med hjälp av en lagrad strategi för säkerhet. Ja, Mac-datorer får skadlig kod, så du bör investera i Mac-antivirus programvara för att skydda din dator. I själva verket är det en bra idé att få antivirus och en brandvägg, eftersom ett lagerskydd skyddar dig mycket mer effektivt än något lager i sig.

Intego VirusBarrier med uppdaterade virusdefinitioner upptäcker och utraderar denna skadliga kod, som den identifierar som OSX / iWorm.

Detta inlägg publicerades i Malware, rekommenderas, säkerhetsnyheter och taggade bakdörr, botnet, iWorm, Mac, Mac OS X, Mac.BackDoor.iWorm, malware, OSX / iWorm, Reddit. Bokmärk permalänken.