Letzte Woche hat die russische Antivirenfirma Doctor Web offengelegt eine neu entdeckte OS X-Malware namens Mac.BackDoor.iWorm, die zu dieser Zeit etwa 17.000 Computer auf der ganzen Welt befallen hatte. Während der genaue Infektionsmechanismus unklar war, besteht eine interessante Wendung in der Geschichte darin, dass kompromittierte Maschinen Suchanfragen auf Reddit ausführen, um Anweisungen darüber zu erhalten, welche Befehls- und Kontrollserver zur Verwaltung des Botnetzes verwendet werden sollten.
Erwähnenswert ist, dass der Bot zum Abrufen einer Kontrollserver-Adressliste den Suchdienst von reddit.com verwendet und als Suchabfrage hexadezimale Werte der ersten 8 Bytes des MD5-Hashs des aktuellen angibt Datum. Die reddit.com-Suche gibt eine Webseite mit einer Liste von Botnet-C&C-Servern und -Ports zurück, die von Kriminellen in Kommentaren zum Post minecraftserverlists unter dem Account vtnhiaovyd veröffentlicht wurden.
Nach der Verbindung mit einem Command-and-Control-Server kann die von der Malware auf dem System des Benutzers geöffnete Hintertür Anweisungen zur Ausführung einer Vielzahl von Aufgaben erhalten, vom Diebstahl sensibler Informationen bis zum Empfang oder der Verbreitung zusätzlicher Malware.
Um der Bedrohung zu begegnen, hat Apple jetzt sein Anti-Malware-System „Xprotect“ aktualisiert, um zwei verschiedene Varianten der iWorm-Malware zu erkennen und zu verhindern, dass sie auf den Computern der Benutzer installiert werden.
Xprotect wurde erstmals mit OS X Snow Leopard eingeführt und ist ein rudimentäres Anti-Malware-System, das Benutzer erkennt und darauf aufmerksam macht, dass verschiedene Arten von Malware vorhanden sind. Angesichts der relativen Seltenheit von Malware, die auf OS X abzielt, werden die Malware-Definitionen selten aktualisiert, obwohl die Computer der Benutzer täglich automatisch nach Updates suchen. Apple verwendet das Xprotect-System gelegentlich auch, um Mindestversionsanforderungen für Plug-Ins wie Flash Player und Java durchzusetzen, wodurch Benutzer gezwungen werden, von älteren Versionen zu aktualisieren, von denen bekannt ist, dass sie erhebliche Sicherheitsrisiken bergen.
Beliebte Beiträge