新恶意软件iworm已感染全球1.7万台mac电脑
2014年10月08日 09:03
信息安全研究人员近期发现,全球超过1.7万台mac电脑已经感染了一种名为“iworm”的新的osx恶意软件。这种恶意软件曾使用reddit网站作为传播媒介,能窃取用户数据,触发多种系统操作,并执行lua脚本。
俄罗斯信息安全研究公司dr.web在病毒库中将这一恶意软件标记为“mac.backdoor.iworm”。这是一种复杂的后门软件,能在被感染的mac电脑上执行多种命令,从而实现窃取用户数据,以及远程遥控系统等目的。
在iworm被装入mac电脑后,这一软件会创建可执行文件,打开一个端口,对多台控制服务器发出请求,以等待进一步指令。这一恶意软件的特别之处在于能调用reddit的搜索服务获得僵尸网络的服务器列表。
reddit已经封杀了这一恶意软件发送的请求,但iworm的开发者很可能已通过其他搜索服务创建了又一个服务器列表。研究人员尚未发现该软件使用了哪一搜索服务。
在iworm连接命令和控制服务器之后,将会以二进制格式和lua脚本的方式拉取指令。服务器随后可以向被感染的计算机发送其他恶意软件,或从事其他恶意活动。
iworm本身能够收集并发送敏感的用户信息,在配置文件中设置参数,触发get请求,使mac电脑进入休眠状态,禁止某些节点,或运行lua脚本。
由于iworm会被解压至osx的一个文件夹,因此用户可以很容易检查,自己的mac电脑是否感染了这一恶意软件。用户只需点击osx的finder菜单中的“go->gotofolder”选项,随后输入路径“/library/applicationsupport/javaw”即可。如果osx找不到这一文件夹,那么mac电脑就是安全的。如果能找到这一文件夹,那么用户需要安装反病毒软件,从硬盘中清理iworm。
根据dr.web的iworm统计分析数据,到9月26日,这一恶意软件已经感染了17658台mac电脑。
俄罗斯信息安全研究公司dr.web在病毒库中将这一恶意软件标记为“mac.backdoor.iworm”。这是一种复杂的后门软件,能在被感染的mac电脑上执行多种命令,从而实现窃取用户数据,以及远程遥控系统等目的。
在iworm被装入mac电脑后,这一软件会创建可执行文件,打开一个端口,对多台控制服务器发出请求,以等待进一步指令。这一恶意软件的特别之处在于能调用reddit的搜索服务获得僵尸网络的服务器列表。
reddit已经封杀了这一恶意软件发送的请求,但iworm的开发者很可能已通过其他搜索服务创建了又一个服务器列表。研究人员尚未发现该软件使用了哪一搜索服务。
在iworm连接命令和控制服务器之后,将会以二进制格式和lua脚本的方式拉取指令。服务器随后可以向被感染的计算机发送其他恶意软件,或从事其他恶意活动。
iworm本身能够收集并发送敏感的用户信息,在配置文件中设置参数,触发get请求,使mac电脑进入休眠状态,禁止某些节点,或运行lua脚本。
由于iworm会被解压至osx的一个文件夹,因此用户可以很容易检查,自己的mac电脑是否感染了这一恶意软件。用户只需点击osx的finder菜单中的“go->gotofolder”选项,随后输入路径“/library/applicationsupport/javaw”即可。如果osx找不到这一文件夹,那么mac电脑就是安全的。如果能找到这一文件夹,那么用户需要安装反病毒软件,从硬盘中清理iworm。
根据dr.web的iworm统计分析数据,到9月26日,这一恶意软件已经感染了17658台mac电脑。
