Την περασμένη εβδομάδα, η ρωσική εταιρεία προστασίας από ιούς Doctor Web φανερωθείς ένα πρόσφατα ανακαλυφθέν κομμάτι κακόβουλου λογισμικού OS X γνωστό ως Mac.BackDoor.iWorm που εκείνη την εποχή είχε επηρεάσει περίπου 17.000 μηχανές σε όλο τον κόσμο. Αν και ο ακριβής μηχανισμός μόλυνσης ήταν ασαφής, μια ενδιαφέρουσα ανατροπή της ιστορίας περιλαμβάνει μηχανήματα που εκτελούν ερωτήματα αναζήτησης στο Reddit για να λάβουν οδηγίες σχετικά με τους διακομιστές εντολών και ελέγχου που πρέπει να χρησιμοποιηθούν για τη διαχείριση του botnet.
Αξίζει να αναφερθεί ότι για να αποκτήσει μια λίστα διευθύνσεων διακομιστή ελέγχου, το bot χρησιμοποιεί την υπηρεσία αναζήτησης στο reddit.com και -- ως ερώτημα αναζήτησης -- καθορίζει δεκαεξαδικές τιμές των πρώτων 8 byte του κατακερματισμού MD5 του τρέχοντος ημερομηνία. Η αναζήτηση reddit.com επιστρέφει μια ιστοσελίδα που περιέχει μια λίστα με διακομιστές και θύρες C&C botnet που δημοσιεύονται από εγκληματίες σε σχόλια στις λίστες ανάρτησης minecraftserver στο λογαριασμό vtnhiaovyd.
Μόλις συνδεθεί σε έναν διακομιστή εντολών και ελέγχου, η κερκόπορτα που ανοίγει από το κακόβουλο λογισμικό στο σύστημα του χρήστη μπορεί να λάβει οδηγίες για την εκτέλεση ποικίλων εργασιών, από την κλοπή ευαίσθητων πληροφοριών έως τη λήψη ή τη διάδοση πρόσθετου κακόβουλου λογισμικού.
Σε μια προσπάθεια να αντιμετωπίσει την απειλή, η Apple έχει τώρα ενημερώσει το σύστημα προστασίας από κακόβουλο λογισμικό «Xprotect» για να αναγνωρίσει δύο διαφορετικές παραλλαγές του κακόβουλου λογισμικού iWorm και να αποτρέψει την εγκατάστασή τους σε μηχανήματα των χρηστών.
Το Xprotect, που παρουσιάστηκε για πρώτη φορά με το OS X Snow Leopard, είναι ένα υποτυπώδες σύστημα κατά του κακόβουλου λογισμικού που αναγνωρίζει και ειδοποιεί τους χρήστες για την παρουσία διαφόρων τύπων κακόβουλου λογισμικού. Δεδομένης της σχετικής σπανιότητας του κακόβουλου λογισμικού που στοχεύει το OS X, οι ορισμοί του κακόβουλου λογισμικού ενημερώνονται σπάνια, αν και τα μηχανήματα των χρηστών ελέγχουν αυτόματα για ενημερώσεις σε καθημερινή βάση. Η Apple χρησιμοποιεί επίσης το σύστημα Xprotect κατά καιρούς για να επιβάλει ελάχιστες απαιτήσεις έκδοσης για πρόσθετα, όπως το Flash Player και η Java, αναγκάζοντας τους χρήστες να κάνουν αναβάθμιση από παλαιότερες εκδόσεις που είναι γνωστό ότι ενέχουν σημαντικούς κινδύνους ασφαλείας.
Δημοφιλείς Αναρτήσεις