На выходных компания из Купертино обновила базу XProtect для борьбы с крупным бонетом iWorm, который по предварительным данным включал в себя более 18 тысяч Маков по всему миру. Как отмечают крупные технологические издания, последняя версия файла XProtect.plist содержит в себе определения для защиты сразу от нескольких разновидностей этого вредоносной программы.

Впервые бэкдор Mac.BackDoor.iWorm был обнаружен ещё на прошлой неделе сотрудниками российской антивирусной компании Dr. Web. И хотя точный механизм «инфицирования» до сих пор остаётся неизвестным1, после первоначального изучения вредоносной программы исследователи компьютерной безопасности пришли к обескураживающему выводу. Оказалось, что заражённые компьютеры координировали свою деятельность при помощи популярного сайта Reddit, отправляя туда поисковые запросы для получения инструкций о том, какие серверы должны использоваться для управления ботнетом.

Для получения адресов управляющих серверов боты использовали поиск на сайте Reddit.com. В качестве поискового запроса они указывали шестнадцатеричные значения первых 8 байт от хэша MD5 текущей даты. После этого поиск Reddit.com возвращал веб-страницу со списком управляющих серверов и портов для ботнета, публикуемых в комментариях к посту MinecraftServerLists аккаунтом vtnhiaovyd.

После подключения к управляющему серверу заражённые компьютеры получали новые инструкции на выполнение самых разнообразных задач — от кражи пользовательской информации до распространения дополнительного вредоносного ПО. Для борьбы с этим ботнетом Apple обновила базу системного компонента XProtect, добавив в неё описание трёх вариаций OSX.iWorm.A, OSX.iWorm.B и OSX.iWorm.C, чтобы предотвратить дальнейшее распространение «заразы».

Впервые XProtect был представлен в OS X Snow Leopard. Он представляет из себя довольно простенькую систему защиты, которая распознает и предупреждает пользователей о наличии разнообразных вирусов и прочих подобных программ. Учитывая относительно небольшую заинтересованность киберпреступников в рынке Mac, определения XProtect обновляются нечасто, хотя яблочные компьютеры настроены на ежедневную и автоматическую проверку обновлений. Помимо этого Apple использует данную систему, чтобы напоминать пользователям о необходимости устанавливать более свежие версии некоторых плагинов наподобие Flash-плеера или Java, что также позволяет снизить риск заражения через старые и широко известные уязвимости в данных технологиях.

  1. Сотрудники Dr. Web уверены, что заражаются пользователи во время установки пиратского софта для OS X.

Читайте также: