На вихідних компанія з Купертіно оновила базу XProtect для боротьби з великим бонетом iWorm, який за попередніми даними включав в себе більше 18 тисяч Маків по всьому світу. Як відзначають великі технологічні видання, остання версія файлу XProtect.plist містить у собі визначення для захисту відразу від декількох різновидів цієї шкідливої програми.

Вперше бекдор Mac.Trojan.iWorm був виявлений ще минулого тижня співробітниками російської антивірусної компанії Dr. Web. І хоча точний механізм «інфікування» досі залишається неизвестным1, після початкового вивчення шкідливої програми дослідники комп’ютерної безпеки прийшли до бентежного висновку. Виявилося, що заражені комп’ютери координували свою діяльність за допомогою популярного сайту Reddit, відправляючи туди пошукові запити для отримання інструкцій про те, які сервери повинні використовуватися для управління ботнетом.

Для отримання адрес керуючих серверів боти використовували пошук на сайті Reddit.com. В якості пошукового запиту вони вказували шістнадцяткові значення перших 8 байт від хеша MD5 поточної дати. Після цього пошук Reddit.com повертав веб-сторінку зі списком керуючих серверів і портів для ботнету, що публікуються в коментарях до посту MinecraftServerLists акаунтом vtnhiaovyd.

Після підключення до керуючого сервера заражені комп’ютери отримували нові інструкції на виконання найрізноманітніших завдань — від крадіжки інформації до поширення додаткового шкідливого ПО. Для боротьби з цим ботнетом Apple оновила базу системного компонента XProtect, додавши в неї опис трьох варіацій OSX.iWorm.A, OSX.iWorm.B і OSX.iWorm.C, щоб запобігти подальше поширення «зарази».

Вперше XProtect був представлений в OS X Snow Leopard. Він представляє із себе досить простеньку систему захисту, яка розпізнає і попереджає користувачів про наявність різноманітних вірусів і інших подібних програм. Враховуючи відносно невелику зацікавленість кіберзлочинців в ринку Mac, визначення XProtect оновлюються нечасто, хоча яблучні комп’ютери налаштовані на щоденну і автоматичну перевірку оновлень. Крім цього Apple використовує дану систему, щоб нагадувати користувачам про необхідність встановлювати більш свіжі версії деяких плагінів зразок Flash-плеєра або Java, що дозволяє знизити ризик зараження через старі і широко відомі уразливості в даних технологіях.

  • Співробітники Dr. Web впевнені, що заражаються користувачі під час установки піратського софта для OS X. ?