I sidste uge, russiske anti-virus firma Doctor Web afsløret et nyopdaget stykke OS X-malware kendt som Mac.BackDoor.iWorm, der på det tidspunkt havde påvirket omkring 17.000 maskiner rundt om i verden. Mens den nøjagtige mekanisme for infektion var uklar, involverer et interessant twist til historien kompromitterede maskiner, der kører søgeforespørgsler på Reddit for at få instruktioner om, hvilke kommando- og kontrolservere der skal bruges til at administrere botnettet.
Det er værd at nævne, at for at erhverve en kontrolserveradresseliste bruger botten søgetjenesten på reddit.com, og - som en søgeforespørgsel - specificerer hexadecimale værdier af de første 8 bytes af MD5-hashen for den aktuelle dato. Reddit.com-søgningen returnerer en webside, der indeholder en liste over botnet C&C-servere og -porte udgivet af kriminelle i kommentarer til post minecraftserverlisterne under kontoen vtnhiaovyd.
Når først den er forbundet til en kommando- og kontrolserver, kan bagdøren, der åbnes af malwaren på brugerens system, modtage instruktioner til at udføre en række opgaver, lige fra at stjæle følsomme oplysninger til at modtage eller sprede yderligere malware.
I et forsøg på at imødegå truslen har Apple nu opdateret sit 'Xprotect' anti-malware system til at genkende to forskellige varianter af iWorm malware og forhindre dem i at blive installeret på brugernes maskiner.
Xprotect blev først introduceret med OS X Snow Leopard og er et rudimentært anti-malware-system, der genkender og advarer brugere om tilstedeværelsen af forskellige typer malware. I betragtning af den relative sjældenhed af malware, der er målrettet mod OS X, opdateres malwaredefinitionerne sjældent, selvom brugernes maskiner automatisk tjekker for opdateringer på daglig basis. Apple bruger også nogle gange Xprotect-systemet til at håndhæve minimumsversionskrav til plug-ins såsom Flash Player og Java, hvilket tvinger brugerne til at opgradere fra ældre versioner, der vides at indebære betydelige sikkerhedsrisici.
Populære Indlæg