Backdoor.OSX.iWorm.f (Kaspersky), OSX/iWorm (McAfee), Mac.OSX.iWorm.C (F-Secure), Mac.OSX.iWorm.C (BitDefender), OSX/Iservice.AG (ESET), OSX.Luaddit (Symantec)

 Plataforma:

Mac OSX

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
 Exposição das informações:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Backdoor

  • Destrutivo:
    Não

  • Criptografado:
    Sim

  • In the Wild:
    Sim

  Visão geral

Canal de infecção: Descargado de Internet, Eliminado por otro tipo de malware

Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado.

  Detalhes técnicos

Tipo de compactação: Varía
Tipo de arquivo: Mach-O
Residente na memória: Sim
Data de recebimento das amostras iniciais: 06 de octubre de 2014
Carga útil: Connects to URLs/IPs

Instalación

Infiltra los archivos siguientes:

  • /Library/Application Support/JavaW/JavaW
  • /Library/LaunchDaemons/com.JavaW.plist
  • /Users/{user name}/.JavaW
  • /private/var/root/.JavaW

Rutina de puerta trasera

Ejecuta los comandos siguientes desde un usuario remoto malicioso:

  • Execute scripts
  • Download and execute arbitrary file
  • Sleep
  • Get node information
  • Get Bot ID

Robo de información

Recopila los siguientes datos:

  • UID
  • Opened port

  Solução

Mecanismo de varredura mínima: 9.700
Primeiro arquivo padrão VSAPI: 11.194.04
Data do lançamento do primeiro padrão VSAPI: 06 de octubre de 2014
VSAPI OPR Pattern Version: 11.195.00
VSAPI OPR Pattern veröffentlicht am: 07 de octubre de 2014
Participe da nossa pesquisa!