DoctorWeb ha scoperto una nuova minaccia per Mac OS X, che sta infettando più di 18 mila Mac, che potrebbe essere utilizzata dai criminali per svolgere varie malefatte.
Il malware in questione dal nome Mac.BackDoor.iWorm sembra aver posseduto parecchi Mac, che potrebbero essere usati virtualemente da malintenzionati per varie cause.
In pratica si tratta di una sorta di programma, la cui installazione estrae i file nella directory / Library / Application Support / javaw.
Il Worm, genera un file p–list, in modo che la backdoor viene avviata automaticamente, la configurazione viene salvata in un file separato e quindi il programma va a leggere nella directory /Library.
Se il worm vede che la directory non è stata creata, la crea scrivendo i dati necessari per eseguire il file.
Quando si esegue, il Worm apre una porta sul computer e aspetta una connessione in entrata.
In particolare, utilizza reddit per ottenere un elenco di server di controllo a cui connettersi.
Vediamo come funziona il tutto nel dettaglio :
Al fine di acquisire un elenco di indirizzi di server di controllo, il bot utilizza il servizio di ricerca su reddit.com.
La ricerca su reddit.com restituisce una pagina web contenente un elenco di botnet server e le porte C & C pubblicate da criminali nei commenti alla minecraftserverlists, posta sotto l’account vtnhiaovyd.
Il bot sceglie un server a caso dai primi 29 indirizzi della lista e invia query a ciascuno di essi.
Cerca le richieste d’ acquisire, l’ elenco viene inviato a reddit.com a intervalli di cinque minuti.
Cerca di connettersi ai server, per vedere se l’ indirizzo è nella lista, utilizzando una routine speciale facendo vari tentativi, a quel punto comincia a scambiare dati con il server per autenticare l’ host.
In caso di successo, la backdoor invia le informazioni del server sulla porta aperta della macchina infetta e il suo ID.
Per verificare se siete infetti, è sufficiente andare a vedere nella directyory : / Application Support directory / Library / javaw.
Se esiste siete stati infettati.
Un secondo procedimento per vedere se siete stati infettati è aprire una nuova finestra del Finder, premere i tasti Note + G allo stesso tempo.
Scrivere Input / Library / Application Support / javaw e fare clic su Vai.
Se il computer è pulito si dovrebbe ottenere un messaggio “Questa cartella non può essere trovata”.
Doctor Web dice che la firma di questo malware è stato aggiunto al proprio database dei virus, quindi gli utenti che eseguono Dr.Web Anti-virus per Mac OS X sono protetti.
Avete controllato anche voi questo procedimento? Fatelo per vedere se anche voi siete stati infettati dal Worm!
