На прошлой неделе российская антивирусная компания «Доктор Веб» сообщила об обнаружении нового вредоносного ПО для OS X, известного как Mac.BackDoor.iWorm, которое на тот момент затронуло около 17 000 компьютеров по всему миру. Хотя точный механизм заражения оставался неясным, интересным поворотом в этой истории стало то, что зараженные машины использовали поисковые запросы на Reddit для получения инструкций о том, какие серверы команд и управления должны использоваться для управления ботнетом.

Стоит отметить, что для получения списка адресов управляющих серверов бот использует сервис поиска reddit.com, а в качестве поискового запроса — шестнадцатеричные значения первых 8 байт MD5-хэша текущей даты. Поиск reddit.com возвращает веб-страницу со списком серверов C&C ботнета и портами, опубликованными злоумышленниками в комментариях к посту minecraftserverlists под учетной записью vtnhiaovyd.

После подключения к серверу команд и управления бэкдор, открытый вредоносным ПО в системе пользователя, может получать инструкции для выполнения различных задач, от кражи конфиденциальной информации до получения или распространения дополнительного вредоносного ПО.

В попытке устранить угрозу Apple обновила свою антивирусную систему «Xprotect», чтобы распознавать два различных варианта вредоносного ПО iWorm и предотвращать их установку на компьютеры пользователей.

Xprotect, впервые представленный с OS X Snow Leopard, является базовой антивирусной системой, которая распознает и уведомляет пользователей о наличии различных типов вредоносного ПО. Учитывая относительную редкость вредоносных программ, нацеленных на OS X, определения вредоносных программ обновляются нечасто, хотя машины пользователей автоматически проверяют наличие обновлений ежедневно. Apple также периодически использует систему Xprotect для обеспечения минимальных требований к версиям плагинов, таких как Flash Player и Java, заставляя пользователей обновляться со старых версий, известных тем, что они несут значительные риски безопасности.