| 1 окт 2009 — 10:05 PT
Исследователи безопасности из Symantec
Как было раскрыто в недавнем выпуске Virus Bulletin, исследователи утверждают, что нашли два типа вредоносного ПО, которые используют различные уловки для получения контроля над зараженными компьютерами Mac OS X.
Два пакета вредоносного ПО называются OSX.Iservice и OSX.Iservice.B, и, по-видимому, распространяются в пиратских копиях iWork 09 и Photoshop CS4, распространяемых в популярной P2P сети торрентов. Мы уже говорили об этом раньше, но теперь эти зараженные машины начинают действовать.
Похоже, создатель вредоносного ПО получил оригинальные копии обоих приложений и внедрил в них вредоносные бинарные файлы. Пользователи, которые загружают и устанавливают эти приложения, могут быть подвержены заражению.
Исследователи Марио Баллано Барсена и Альфредо Пезоли предупреждают, что это «первая реальная попытка создать Mac-ботнет», и заявляют, что эти зомби-маки уже занимаются плохими делами. По их словам, может быть заражено тысячи Mac.
Мужчины также отмечают, что автор вредоносного ПО, похоже, использовал наиболее гибкий и расширяемый подход при создании кода, «поэтому мы не будем удивлены, увидев в ближайшем будущем новый, измененный вариант», — заявили исследователи.
Мы пытаемся получить дополнительную информацию на данный момент.
ОБНОВЛЕНИЕ: Нам удалось немного пообщаться с Symantec, детали ниже:
– Инфекция также известна как: OSX/iWorkServ.A [F-Secure], OSX/IWService [McAfee], OSX/iWorkS-A [Sophos], OSX_KROWI.A [Trend], OSX/iWorkS-Fam [Sophos], OSX/Krowi.A [Computer Associates].
– Они предупреждают: «Пользователи, которые загружают файлы со сторонних сайтов и из P2P-сетей, таких как BitTorrent, подвергаются риску. В более общем плане, любой, кто пользуется Интернетом, должен быть осведомлен об угрозе поддельных веб-сайтов, называемых фишинговыми сайтами, которые крадут пароли, личную информацию и номера кредитных карт».
– На вопрос, подвергаются ли пользователи Mac атакам, Symantec отмечает: «Короткий ответ: нет. Пользователям компьютеров Macintosh по-прежнему мало стоит опасаться вирусов, троянов и червей, если они соблюдают разумные меры предосторожности».
Более общая информация о вредоносном ПО:
Две версии трояна, называемые OSX.Iservice и OSX.Iservice.B, создают сеть компьютеров («ботнет»), которую киберпреступники могут использовать для атак на веб-сайты, отправки спама, кражи паролей (SPAM) и другой вредоносной деятельности. Эту сеть некоторые называют «iBotnet».
Трояны распространяются в пиратских копиях iWork ’09 от Apple Computer и Adobe Photoshop CS4, обнаруженных в некоторых P2P-сетях. Помимо установки антивирусных технологий компании (и предупреждений против бесплатных решений, претендующих на то же самое, поскольку они часто бывают некачественными), компания советует пользователям Mac, которые часто загружают файлы и приложения: «Создайте ограниченную или неадминистраторскую учетную запись для повседневной деятельности. Используйте учетную запись с полными привилегиями только при необходимости».
Поддельный установщик iWork ’09 имеет имя файла iWork09.zip и размер около 450 МБ. В отличие от этого, законная пробная версия iWork ’09, доступная от Apple, называется iWork09Trial.dmg и имеет размер чуть более 451 МБ. iWorkServices.pkg содержит исполняемый файл трояна под названием iworkservices, и его размер составляет примерно 404 КБ.
Троян сначала определяет, является ли он пользователем root на скомпрометированном компьютере, и если нет, то завершает работу. Затем он проверяет, был ли он выполнен с именем файла iWorkServices. Если нет, он создаст следующую папку:
/System/Library/StartupItems/iWorkServices
Затем троян копирует себя в оба следующих расположения:
/usr/bin/iWorkServices
/System/Library/StartupItems/iWorkServices
Затем он изменяет следующий файл, чтобы гарантировать, что он будет запущен при перезагрузке скомпрометированного компьютера:
/System/Library/StartupItems/iWorkServices/StartupParameters.plist
Затем троян перезапускает себя из нового расположения в /System/Library/StartupItems/iWorkServices и расшифровывает AES-шифрованный конфигурационный файл, который находится в /private/tmp/.iWorkServices. Наконец, троян действует как бэкдор и открывает порт на локальном хосте для соединений. Затем он пытается подключиться к следующим удаленным хостам:
69.92.177.146:59201
qwfojzlk.freehostia.com:1024
Теперь мы почти уверены, что это не широкомасштабная вспышка, но надеемся, что любой пользователь Mac, который мог пострадать, теперь обладает знаниями, необходимыми для определения того, действительно ли они были заражены, и, возможно, для защиты себя от дальнейшего распространения этой вредоносной штуковины…