Эксперты в области IT-безопасности обнаружили крупный ботнет, состоящий из компьютеров под управлением OS X. Полученные данные свидетельствуют о наличии более 17 тыс. уникальных IP-адресов инфицированных вирусом «маков». Для создания вредоноса злоумышленники использовали языки программирования С++ и Lua, в архитектуре бэкдора широко применяется криптография.
В момент первого запуска Mac.BackDoor.iWorm сохраняет свои конфигурационные данные в отдельном файле и пытается прочитать содержимое папки /Library, чтобы получить список установленных в системе приложений, с которыми бэкдор не будет в дальнейшем взаимодействовать, сообщается на сайте компании «Доктор Веб».
Если «нежелательные» директории обнаружить не удается, бот получает наименование домашней папки пользователя OS Х, от имени которого он был запущен, проверяет наличие в ней своего конфигурационного файла и записывает туда данные, необходимые ему для дальнейшей работы. Затем Mac.BackDoor.iWorm открывает на инфицированном компьютере один из портов и ожидает входящего соединения, отправляет запрос на удаленный интернет-ресурс для получения списка адресов управляющих серверов. Затем он подключается к удаленным серверам и ожидает поступления команд для последующего выполнения.
За списком адресов управляющих серверов бот обращается к поисковому сервису reddit.com. Поиск сайта выдает страницу с результатами запроса, управляющие серверы и порты указаны в виде комментариев к одной из тем. Mac.BackDoor.iWorm способен выполнять два типа команд: директивы в зависимости от поступивших бинарных данных или Lua-скрипты. Набор базовых команд бэкдора для Lua-скриптов позволяет выполнять ряд операций.
Наибольшее количество зараженных компьютеров размещено в США, на втором месте Канада, на третьем — Великобритания.