Fin septembre, les experts en sécurité de Dr Web ont découverts plusieurs nouvelles menaces pour Mac OS X. L’une d’elles s’est avéré être une “backdoor” (porte dérobée) complexe et multifonctionnelle qui est entrée dans la base de données de virus sous le nom Mac.BackDoor.iWorm.
17000 Mac infectés par iWorm
Les hackers ont développé ce logiciel malveillant en langage C++ et Lua. Lors de l’installation, iWorm est extrait dans /Bibliothèque/Application Support/Javaw, ensuite la backdoor est générée et accessible pour exécuter tout type de commandes !
- Le bot utilise des requêtes du système pour déterminer le répertoire d’accueil du compte Mac OS X sous lequel il est exécuté, vérifie la disponibilité de son fichier de configuration dans le répertoire et écrit les données nécessaires pour continuer à fonctionner dans le fichier.
- Puis Mac.BackDoor.iWorm ouvre un port sur le Mac infecté et attend une connexion entrante (connexion internet).
- Enfin, une requête est envoyée à un site distant pour acquérir une liste de serveurs de contrôle et attend les instructions.
Mac.BackDoor.iWorm est capable d’effectuer les actions suivantes :
- Obtenir le type de système d’exploitation.
- Obtenir la version de bot.
- Obtenir l’UID de bot.
- Obtenir une valeur à partir du fichier de configuration.
- Définir une valeur de paramètre dans le fichier de configuration.
- Retirez tous les paramètres du fichier de configuration.
- Obtenir la disponibilité du bot.
- Envoyer une requête GET.
- Télécharger un fichier.
- Ouvrir une prise pour une connexion entrante, puis exécuter les commandes reçues.
- Exécuter une instruction de système.
- Mise en veille.
- Exécuter un script Lua imbriqués …
La signature de ce logiciel malveillant a été ajouté à la base de données de virus et Apple a mis à jour ses définitions de logiciels malveillants pour OS X afin d’interdire l’installation du botnet iWorm sur Mac.
