Doctor Web ha descubierto una nueva amenaza para Mac OS X apodado Mac.BackDoor.iWorm. El programa malicioso complejo que ya ha infectado a más de 18.500 Macs que ahora pueden ser utilizados por los delincuentes para llevar a cabo diversas instrucciones.
Durante la instalación del software malicioso se extrae en / Library / Application Support / javaw, después de lo cual el gotero genera un archivo de p-lista, de modo que la puerta trasera se abre automáticamente. Es la configuración se guarda en un archivo separado y luego el programa lee / Biblioteca para averiguar qué aplicación no va a estar interactuando con. Si no se encuentran los directorios 'no deseados', determina el directorio principal, comprueba si su archivo de configuración está en el directorio y, a continuación, escribe los datos que necesita para funcionar en el archivo.
Cuando se ejecuta, iWorm abre un puerto en el equipo y espera una conexión entrante. En particular, se utiliza reddit para obtener una lista de los servidores de control de conectarse.
Doctor Web describe cómo funciona esto:
Vale la pena mencionar que a fin de adquirir una lista de direcciones del servidor de control, el robot utiliza el servicio de búsqueda en reddit.com, y-como una búsqueda de consulta especifica los valores hexadecimales de los 8 primeros bytes del hash MD5 de la fecha actual. La búsqueda reddit.com devuelve una página web que contiene una lista de botnets C & C servidores y puertos publicados por los delincuentes en los comentarios a los minecraftserverlists posteriori de conformidad con el vtnhiaovyd cuenta. El bot recoge un servidor aleatorio de las primeras 29 direcciones de la lista y envía las consultas a cada uno de ellos. Las solicitudes de búsqueda para adquirir la lista se envían a reddit.com en intervalos de cinco minutos. Al establecer una conexión con el servidor cuya dirección se recogió de la lista con una rutina especial, los intentos de puerta trasera para determinar si la dirección del servidor está en la lista de excepciones y se involucra en un intercambio de datos con el servidor de emplear rutinas especiales para autenticar el mando a distancia host. Si tiene éxito, la puerta trasera envía la información del servidor sobre el puerto abierto en la máquina infectada y su identificación única y aguarda directivas.
Para comprobar si está infectado, simplemente vaya al directorio / Library / Application Support / javaw. Si existe es probable que esté infectado.
Para hacerlo, abra una nueva ventana del Finder. Pulse el Com + Shift + teclas G al mismo tiempo. Soporte de entrada / Librería / Application / javaw en el campo de texto y haga clic en Ir. Si su ordenador está limpio debe obtener un mensaje Esta carpeta no se puede encontrar.
Doctor Web, dice la firma de este malware ha sido añadido a su base de datos de virus, por lo que los usuarios que ejecutan Dr.Web Anti-virus para Mac OS X están protegidos.
No hay comentarios:
Publicar un comentario