Backdoor.OSX.iWorm.f (Kaspersky), OSX/iWorm (McAfee), Mac.OSX.iWorm.C (F-Secure), Mac.OSX.iWorm.C (BitDefender), OSX/Iservice.AG (ESET), OSX.Luaddit (Symantec)

 PLATFORM:

Mac OSX

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
 INFORMATION EXPOSURE:
Low
Medium
High
Critical

  • Threat Type:
    Backdoor

  • Destructiveness:
    No

  • Encrypted:
    Yes

  • In the wild::
    Yes

  OVERVIEW

INFECTION CHANNEL: Descargado de Internet, Eliminado por otro tipo de malware

Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado.

  TECHNICAL DETAILS

File size: różni się
File type: Mach-O
Memory resident: Yes
INITIAL SAMPLES RECEIVED DATE: 06 października 2014
PAYLOAD: Connects to URLs/IPs

Instalación

Infiltra los archivos siguientes:

  • /Library/Application Support/JavaW/JavaW
  • /Library/LaunchDaemons/com.JavaW.plist
  • /Users/{user name}/.JavaW
  • /private/var/root/.JavaW

Rutina de puerta trasera

Ejecuta los comandos siguientes desde un usuario remoto malicioso:

  • Execute scripts
  • Download and execute arbitrary file
  • Sleep
  • Get node information
  • Get Bot ID

Robo de información

Recopila los siguientes datos:

  • UID
  • Opened port

  SOLUTION

Minimum scan engine: 9.700
First VSAPI Pattern File: 11.194.04
First VSAPI Pattern Release Date: 06 października 2014
VSAPI OPR PATTERN-VERSION: 11.195.00
VSAPI OPR PATTERN DATE: 07 października 2014
Did this description help? Tell us how we did.