지난 주 러시아 안티 바이러스 회사 Doctor Web 공개 Mac.BackDoor.iWorm으로 알려진 새로 발견된 OS X 맬웨어는 당시 전 세계적으로 약 17,000대의 컴퓨터에 영향을 미쳤습니다. 감염의 정확한 메커니즘은 불분명하지만 흥미로운 반전은 봇넷을 관리하는 데 사용해야 하는 명령 및 제어 서버에 대한 지침을 얻기 위해 Reddit에서 검색 쿼리를 실행하는 손상된 시스템과 관련이 있습니다.
제어 서버 주소 목록을 획득하기 위해 봇은 reddit.com의 검색 서비스를 사용하고 검색 쿼리로 현재 MD5 해시의 처음 8바이트의 16진수 값을 지정한다는 점을 언급할 가치가 있습니다. 데이트. reddit.com 검색은 vtnhiaovyd 계정 아래의 post minecraftserverlists에 대한 댓글로 범죄자가 게시한 봇넷 C&C 서버 및 포트 목록이 포함된 웹 페이지를 반환합니다.
명령 및 제어 서버에 연결되면 악성코드가 사용자 시스템에서 연 백도어가 민감한 정보를 훔치는 것부터 추가 악성코드를 수신하거나 유포하는 것까지 다양한 작업을 수행하라는 지시를 받을 수 있습니다.
위협을 해결하기 위한 노력의 일환으로 Apple은 이제 'Xprotect' 맬웨어 방지 시스템을 업데이트하여 iWorm 맬웨어의 두 가지 변종을 인식하고 사용자 컴퓨터에 설치되는 것을 방지했습니다.
OS X Snow Leopard와 함께 처음 도입된 Xprotect는 다양한 유형의 맬웨어를 인식하고 사용자에게 경고하는 기본적인 맬웨어 방지 시스템입니다. OS X을 대상으로 하는 멀웨어는 상대적으로 드물기 때문에 사용자의 컴퓨터가 매일 업데이트를 자동으로 확인하지만 멀웨어 정의는 자주 업데이트되지 않습니다. Apple은 또한 Flash Player 및 Java와 같은 플러그인에 대한 최소 버전 요구 사항을 적용하기 위해 때때로 Xprotect 시스템을 사용하여 사용자가 심각한 보안 위험을 수반하는 것으로 알려진 이전 버전에서 업그레이드하도록 합니다.
인기 게시물