Backdoor.OSX.iWorm.c

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, предоставляющая злоумышленнику удаленный доступ к зараженному компьютеру. Является исполняемым файлом Apple Mac OS X (Mach-0 universal binary with 2 architectures). Имеет размер 413604 байта.

Инсталляция

При запуске троянец копирует свой файл под следующим именем:

/usr/bin/DivX

Также же троянец создает каталог со следующим именем:

/System/Library/StartupItems/DivX/

Далее троянец извлекает из своего тела два файла и сохраняет их под следующими именами:

/System/Library/StartupItems/DivX/StartupParameters.plist
/System/Library/StartupItems/DivX/DivX

Файл «/System/Library/StartupItems/DivX/DivX» содержит следующие строки:

#!/bin/sh
/usr/bin/DivX &

Таким образом при каждом следующем старте системы будет запущена копия троянца.

Файл «/System/Library/StartupItems/DivX/StartupParameters.plist» является конфигурационным и содержит следующие строки:

{
Description     = "DivX";
Provides        = ("DivX");
Requires        = ("Network");
OrderPreference = "None";
}

Строка «Requires = ("Network");» указывает на то, что для запуска троянца должна быть запущена сетевая служба.

Деструктивная активность

Троянец осуществляет соединение со следующими хостами:

69.***.146:59201
qwfoj***ostia.com:1024

В ответ троянец получает команды, выполняя которые, может загружать файлы из сети Интернет, выполнять системные команды, осуществлять связь посредством пиринговых сетей и предоставлять злоумышленнику полный доступ к зараженному компьютеру.

Ниже приведен список команд получаемых троянцем:

socks
system
httpget
httpgeted
rand
sleep
banadd
banclear
p2plock
p2punlock
nodes
leafs
unknowns
p2pport
p2pmode
p2ppeer
p2ppeerport
p2ppeertype
set
get
clear
abortall
p2pihistsize
p2pihist
platform
script
sendlogs
uptime
uid
shell
rshell

Таким образом зараженный компьютер является частью ботнета.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи стандартного приложения «Activity Monitor» («Мониторинг системы») завершить троянский процесс. Для этого необходимо выбрать из списка процесс с именем «DivX» и нажать кнопку «Quit Process» («Завершить процесса»). В появившемся диалоговом окне нажать кнопку «Force Quit» («Принудительно завершить»). Для выполнения этих действий Вам потребуется пароль администратора.
2. Удалить файл:

   /usr/bin/DivX

3. Удалить каталог и всё его содержимое:

   /System/Library/StartupItems/DivX/

4. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).