Логотип Mac OS X В сентябре «Доктор Веб» обнаружили и изучили сразу несколько вредоносных программ, созданных для инфицирования системы Mac OS X. Одна из угрозмногофункциональный бэкдор, занесенный в базы как Mac.BackDoor.iWorm. Вредоносная утилита способна выполнять большое количество различных команд, получаемых с внешнего сервера. Анализ активности вредоносной сети показал, что в нее входит не менее 17 тысяч «маков» (уникальных IP-адресов).


Для создания вредоносного приложения преступники использовали языки программирования Lua и С++. В момент первого запуска вирус создает новый файл с информацией о своей конфигурации, после чего анализирует содержимое каталога Library, чтобы сформировать список установленных приложений. После активации Mac.BackDoor.iWorm незаметно открывает на атакованном ПК один из портов, после чего ожидает входящего подключения. Далее отправляется запрос на загрузку перечня адресов серверов управления. Примечательно, что список адресов серверов бот получает при помощи поискового движка сайта reddit.com. В качестве запроса указывается первые 8 байт хэш-функции от текущей даты. В результатах поиска отображается интернет-страница со списком серверовзлоумышленники вручную публикуют их как комментарии к теме minecraftserverlists (создал пользователь vtnhiaovyd). Троянская программа делает попытки соединиться с командными серверами, выбирая случайный сервер из первых 29 из полученного списка.
 

Вредоносная программа способна выполнять два вида команд: Lua-скрипты и бинарные данные. Набор скриптов Lua позволяет способен выполнять следующие команды:
- получение типа взломанной ОС;
- получение версии бота;
- определение UID бота;
- запрос значения определенного параметра из файла конфигурации;
- присвоение параметру в конфигурационном файле нового значения;
- загрузка файла;
- отправка нового GET-запроса;
- открытие сокета и выполнение входящих команд;
- запуск вложенного Lua-скрипта.