Dr. Web pranešė apie naują kenkėją Mac kompiuteriams

Dr. Web pranešė aptikusi naują Mac kompiuteriams skirtą kenkėją „iWorm“.

Dr. Web pranešime rašoma, kad „iWorm“ kenkėjas skirtas daugiau nei 17 000 unikalių IP adresų. Žinoma, šis skaičius nėra užkrėstų Mac kompiuterių kiekis, nes daugelis Mac kompiuterių nenaudoja statinių IP adresų.

Dr. Web pranešime nedetalizuojama, kokiu būtent būdu kenkėjas, kurį jie vadina Mac.BackDoor.iWorm patenka į kompiuterį. Iš pavadinimas „iWorm“ galima spręsti, kad šis kenkėjas elgiasi panašiai kaip virusas. Pranešime rašoma, kad nešiotojas (aplikacija, kuri įdiegia kenkėją) jo paleidžiamą failą patalpina /Library/Application Support/ aplanke pavadinimu „JavaW“, tačiau nereiškia, kad Java yra kaip nors su tuo susijusi - šis aplanko pavadinimas gali būti parinktas ir maskavimosi tikslu.

Pranešama, kad nešiotojas taip pat sukuria plist failą ir todėl saugumo spraga sukuriama automatiškai - tai gana standartinis kenkėjų skirtų Mac veiksmas įkinkyti LaunchAgent ar LaunchDaemon.

Kai kenkėjas patogiai įsitaiso Mac kompiuteryje, jis pradeda komandinių ir kontrolės serverių paiešką Reddit svetainės puslapyje ir radęs su tais serveriais susisiekia. Kai jis susijungia su tais serveriais, Mac tampa botnet’o (užkrėstų kompiuterių tinklo) dalimi ir gali būti naudojamas įvairioms atakoms nukreiptoms prieš įvairius serverius (dažniausiai DDoS - distributed denial of service, atakoms skirtoms sutrikdyti serverių darbą) bei vykdyti individualias programišių komandas.

Norėdami patikrinti ar jūsų Mac nėra apsigyvenęs šis kenkėjas, Finder aplikacijoje, iš meniu pasirinkite Go > Go to Folder arba pasinaudokite klavišų kombinacija Shift ⇧-Cmd ⌘-G ir įveskite ten (arba įklijuokite iš čia nukopijuotą) kelią į kenkėjo aplanką /Library/Application Support/JavaW, tada paspauskite Go mygtuką. Jei tai atlikus Mac’as tik pyptelės ir kelio įvedimo lango apatiniame kampe pasirodys tekstas „The folder can’t be found.“ - turėtumėte būti saugūs.

Jei paspaudus „Go“ bus atidarytas Finder aplikacijos langas parodantis šio aplanko turinį - jūsų kompiuteryje yra šis kenkėjas. Šiuo metu nėra žinoma, kokius failus ir kur patalpina šis kenkėjas be to pasinaudoja šio kenkėjo atidaryta saugumo spraga programišiai jūsų kompiuteryje gali įdiegti bet ką bet kur, todėl vienintelis sprendimo būdas būtų (bent jau dabar) pilnai ištrinti viską kietajame kompiuterio diske ir įdiegti sistemą visiškai naujai. Duomenis galite atstatyti tik tuo atveju, jei turite jų kopiją padarytą iki kompiuteriui priglaudžiant kenkėją.

Šiuo metu dar nėra XProtect atnaujinimo, kuris apsaugotų nuo šio kenkėjo įdiegimo kompiuteryje. Kita vertus to atnaujinimo dar būti ir negali, nes ekspertai tik aiškinasi kokius būtent failus ir kur patalpina šis kenkėjas.

Taip pat skaitykite: • Išsiaiškinta kaip „iWorm“ užkrečia Mac
• Mac OS X virusų/kenkėjiškų programų sąrašas