Обнаружен новый ботнет для Mac OS X

Александр Панасенко 29 Сентября 2014 - 17:44

...

В сентябре 2014 года вирусные аналитики компании «Доктор Веб» исследовали сразу несколько новых угроз для операционной системы Apple Mac OS X. Одна из них — это сложный многофункциональный бэкдор, добавленный в вирусные базы под именем Mac.BackDoor.iWorm.

Данная программа позволяет выполнять на инфицированном «маке» широкий набор различных команд, поступивших от злоумышленников. Полученные в результате статистического анализа данные свидетельствуют о наличии более 17 000 уникальных IP-адресов инфицированных троянцем «маков».

При создании данной вредоносной программы злоумышленники использовали языки программирования С++ и Lua, при этом в архитектуре бэкдора широко применяется криптография. В процессе установки троянец распаковывается в папку /Library/Application Support/JavaW, после чего дроппер собирает «на лету» файл plist для обеспечения автоматического запуска этой вредоносной программы.

В момент первого запуска Mac.BackDoor.iWorm сохраняет свои конфигурационные данные в отдельном файле и пытается прочитать содержимое папки /Library, чтобы получить список установленных в системе приложений, с которыми бэкдор не будет в дальнейшем взаимодействовать. Если «нежелательные» директории обнаружить не удается, бот получает с использованием нескольких системных функций наименование домашней папки пользователя Mac OS Х, от имени которого он был запущен, проверяет наличие в ней своего конфигурационного файла и записывает туда данные, необходимые ему для дальнейшей работы. Затем Mac.BackDoor.iWorm открывает на инфицированном компьютере один из портов и ожидает входящего соединения, отправляет запрос на удаленный интернет-ресурс для получения списка адресов управляющих серверов, после чего подключается к удаленным серверам и ожидает поступления команд для последующего выполнения. Примечательно, что за списком адресов управляющих серверов бот обращается к поисковому сервису сайта reddit.com, указывая в качестве запроса шестнадцатеричные значения первых 8 байт хэш-функции MD5 от текущей даты. По результатам поиска reddit.com отдает веб-страницу со списком управляющих серверов ботнета и портов, которые злоумышленники публикуют в виде комментариев к теме minecraftserverlists от имени пользователя vtnhiaovyd.

Троянец пытается установить соединение с командными серверами, перебирая в случайном порядке первые 29 адресов из полученного списка и отправляя запросы на каждый из них. Повторные запросы к сайту reddit для получения нового перечня отправляются раз в 5 минут.

В процессе установки соединения с управляющим сервером, адрес которого выбирается из списка по специальному алгоритму, троянец пытается определить, не добавлен ли этот адрес в список исключений, и обменивается с ним специальным набором данных, по которым с использованием ряда сложных математических преобразований проверяется подлинность удаленного узла. Если проверка прошла успешно, бот отправляет на удаленный сервер номер открытого на инфицированном компьютере порта и свой уникальный идентификатор, ожидая в ответ поступления управляющих команд.

Mac.BackDoor.iWorm способен выполнять два типа команд: различные директивы в зависимости от поступивших бинарных данных или Lua-скрипты. Набор базовых команд бэкдора для Lua-скриптов позволяет выполнять следующие операции:

получение типа ОС;
получение версии бота;
получение UID бота;
получение значения параметра из конфигурационного файла;
установка значения параметра в конфигурационном файле;
очистка конфигурационных данных от всех параметров;
получение времени работы бота (uptime);
отправка GET-запроса;
скачивание файла;
открытие сокета для входящего соединения с последующим выполнением приходящих команд;
выполнение системной команды;
выполнение паузы (sleep);
добавление нода по IP в список «забаненных» узлов;
очистка списка «забаненных» нодов;
получение списка нодов;
получение IP-адреса нода;
получение типа нода;
получение порта нода;
выполнение вложенного Lua-скрипта.

Собранная специалистами компании «Доктор Веб» статистика показывает, что в бот-сети, созданной злоумышленниками с использованием Mac.BackDoor.iWorm, на 26 сентября 2014 года насчитывалось 17 658 IP-адресов зараженных устройств. Наибольшее их количество — 4610 (что составляет 26.1% от общего числа) приходится на долю США, на втором месте — Канада с показателем 1235 адресов (7 %), третье место занимает Великобритания: здесь выявлено 1227 IP-адресов инфицированных компьютеров, что составляет 6.9% от их общего числа.

Следующая главная новость »

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!

Яков Шпунт 26 Марта 2026 - 11:17

Соответствие законодательству РФ Общее

ФАС дала передышку рекламе в Telegram, но у рынка остались вопросы

Участники рекламного рынка считают, что ряд формулировок в опубликованном накануне разъяснении Федеральной антимонопольной службы о размещении рекламы в Telegram и YouTube остаётся неоднозначным. Тем не менее, по их оценке, на практике никаких санкций в ближайшее время действительно не последует.

Накануне ФАС выпустила разъяснение, в котором сообщила, что не будет применять меры ответственности за размещение рекламы на этих площадках. Как заявило ведомство, переходный период продлится до конца 2026 года.

Представители рекламного рынка, опрошенные «Российской газетой», восприняли это разъяснение с воодушевлением. В начале марта действия ФАС в отношении двух блогеров серьёзно встревожили рынок и привели к резкому сокращению рекламных размещений, в том числе уже оплаченных публикаций.

«Разъяснение ФАС означает, что регулятор слышит рекламную отрасль, понимает проблемы, которые в одночасье могли возникнуть у сотен тысяч российских рекламодателей, и оперативно гасит тревожность, позволяя в спокойном режиме российской экономике продолжать работу с рекламными инструментами. Переходный период до конца 2026 года — это позитивный сигнал, который был нужен бизнесу», — отметил генеральный директор SALO, сопредседатель комитета по инфлюенс-маркетингу АРИР Александр Кукса.

При этом участники рынка обращают внимание, что прямого разрешения на размещение рекламы в Telegram и YouTube всё равно не появилось. Не до конца ясно и то, с какого именно момента следует отсчитывать запрет, поскольку решение суда, ставшее основанием для ограничений в отношении Telegram в России, было вынесено ещё в 2018 году и формально не отменено. Остаётся открытым и вопрос, будут ли штрафовать за рекламные размещения прошлых периодов, если они останутся опубликованными после 31 декабря 2026 года.

Генеральный директор Юридического центра для блогеров и агентств, юрист СРО АБА Анастасия Красникова советует ориентироваться на прежнюю практику ФАС. В качестве примера она приводит ситуацию с запретом рекламы в Instagram (принадлежит Meta, признанной в России экстремистской и запрещённой), когда также действовал переходный период без назначения штрафов.

«Отсутствие штрафа сейчас не равно легальности, так как риски по „хвосту“ полностью не сняты, поэтому полагаться полностью на так называемую амнистию в этом вопросе я бы не стала», — заявила директор АНО «Академия современной юриспруденции», доцент, заместитель заведующего кафедрой интеллектуальных прав МГЮА Елена Гринь. По её мнению, вопрос с рекламой в ранее опубликованных постах также остаётся нерешённым.

Елена Гринь также рекомендует уже сейчас маркировать рекламу и оформлять её через организационно-распорядительную документацию. Для этого, по её словам, необходимо фиксировать договоры, акты и переписку, корректно отделять редакционный контент от рекламных интеграций и наводить порядок в процессах, чтобы в случае ужесточения контроля не пришлось срочно всё перестраивать. При этом она советует не планировать новые интеграции после 1 января 2027 года.

В то же время, как спрогнозировали в Ассоциации блогеров и агентств в комментарии для ТАСС, даже в случае полной блокировки объём рекламы в Telegram может сократиться примерно вдвое, но не исчезнет полностью. Сейчас этот рынок оценивается примерно в 60 млрд рублей.

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!