«Доктор Веб» обнаружил ботнет из 17 000 компьютеров Mac

«Доктор Веб» объявил об обнаружении сложного многофункционального бэкдора для Mac OS X. Вредоносное приложение было добавлено в вирусные базы под именем Mac.BackDoor.iWorm. Программа позволяет выполнять на инфицированном «маке» широкий набор различных команд, поступивших от злоумышленников. По данным компании, свыше 17 000 компьютеров Mac инфицированы данным троянцем.

В момент первого запуска Mac.BackDoor.iWorm сохраняет свои конфигурационные данные в отдельном файле и пытается прочитать содержимое папки /Library, чтобы получить список установленных в системе приложений, рассказали специалисты «Доктора Веб». Если «нежелательные» директории обнаружить не удается, бот получает с использованием нескольких системных функций наименование домашней папки пользователя OS Х, от имени которого он был запущен, проверяет наличие в ней своего конфигурационного файла и записывает туда данные, необходимые ему для дальнейшей работы. Затем Mac.BackDoor.iWorm открывает на инфицированном компьютере один из портов и ожидает входящее соединение, отправляет запрос на удаленный интернет-ресурс и ожидает поступления команд для последующего выполнения.

Троянец пытается установить соединение с командными серверами, перебирая в случайном порядке первые 29 адресов из полученного списка и отправляя запросы на каждый из них. Повторные запросы для получения нового перечня отправляются раз в 5 минут.

В процессе установки соединения с управляющим сервером, адрес которого выбирается из списка по специальному алгоритму, троянец пытается определить, не добавлен ли этот адрес в список исключений, и обменивается с ним специальным набором данных, по которым с использованием ряда сложных математических преобразований проверяется подлинность удаленного узла. Если проверка прошла успешно, бот отправляет на удаленный сервер номер открытого на инфицированном компьютере порта и свой уникальный идентификатор, ожидая в ответ поступления управляющих команд.

Mac.BackDoor.iWorm способен выполнять два типа команд: различные директивы в зависимости от поступивших бинарных данных или Lua-скрипты.

Собранная специалистами компании «Доктор Веб» статистика показывает, что в бот-сети, созданной злоумышленниками с использованием Mac.BackDoor.iWorm, на конец сентября насчитывалось 17 658 IP-адресов зараженных устройств. Наибольшее их количество — 4610 (что составляет 26,1% от общего числа) приходится на долю США, на втором месте — Канада с показателем 1235 адресов (7%), третье место занимает Великобритания: здесь выявлено 1227 IP-адресов инфицированных компьютеров (6,9%).