07. Oktober 2014
Botnetz infiziert Tausende MACs
Mit dem Mac ist alles besser? Oft, aber nicht immer. Mehr als 18.000 Macs wurden durch ein Botnetz infiziert. Der Schädling heißt Mac.BackDoor.iWorm und wird über BitTorrent verbreitet.
Der Hersteller der Antiviren-Software Dr. Web hat den neue Wurm entdeckt. Er setzt sich selbst auf Autostart, so dass er beim Start des Systems automatisch aktiv wird, und sucht anschließend nach der IP-Adresse des C&C (Command and Control Server).
Apps auf BitTorrent infizieren Macs mit der Software. Ein Forum auf reddit.com wurde ebenfalls mißbraucht: Die Malware sendete die ersten acht Bytes des Hash-Werts des aktuellen Datums an die Suchfunktion von reddit.com, um anschließend die Kommunikation mit dem C&C zu öffnen. Das Forum wurde inzwischen von Reddit geschlossen.
Der C&C kommuniziert mit den Bots über AES 256-Verschlüsselung. Die Steuerung der Bots erfolgt über Lua, eine imperative und erweiterbare Skriptsprache. Lua-Programme sind in der Regel plattformunabhängig. Sie werden direkt vor der Ausführung in Bytecode übersetzt. So ist es möglich, dass ein Bot angewiesen wird, weitere Dateien herunterzuladen.
Mehr als 18.000 Macs sind bereits mit iWorm infiziert, die Mehrzahl in Großbritannien, den USA und Kanada. Die Verbreitung erfolgte vorrangig über BitTorrent angebunden an Raubkopien kommerzieller Programme wie Microsoft Office, Parallels oder Adobe Photoshop.
Apple hat nun direkt reagiert: Der mit Snow Leopard verwendete Dateifilter wurde um drei Varianten von iWorm erweitert. Sofern das System aktuell ist, werden damit Neu-Installationen der Bots unterbunden. Es ist allerdings zur Stunde noch unklar, wieviele weitere Varianten des Wurms im Umlauf sind.
Sie möchten zukünftig per Newsletter informiert werden? <link aktuelle-meldungen oktober newsletter.html>Hier können Sie sich zu unserem Newsletter anmelden.