OSX_IWORM.A
Backdoor.OSX.iWorm.f (Kaspersky), OSX/iWorm (McAfee), Mac.OSX.iWorm.C (F-Secure), Mac.OSX.iWorm.C (BitDefender), OSX/Iservice.AG (ESET), OSX.Luaddit (Symantec)
PLATFORM:
Mac OSX
OVER ALL RISK RATING:
DAMAGE POTENTIAL::
DISTRIBUTION POTENTIAL::
REPORTED INFECTION:
INFORMATION EXPOSURE:
Low
Medium
High
Critical
Threat Type:
Backdoor
Destructiveness:
No
Encrypted:
Yes
In the wild::
Yes
OVERVIEW
INFECTION CHANNEL: Descargado de Internet, Eliminado por otro tipo de malware
Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado.
TECHNICAL DETAILS
File size: меняется
File type: Mach-O
Memory resident: Yes
INITIAL SAMPLES RECEIVED DATE: 06 октября 2014
PAYLOAD: Connects to URLs/IPs
Instalación
Infiltra los archivos siguientes:
- /Library/Application Support/JavaW/JavaW
- /Library/LaunchDaemons/com.JavaW.plist
- /Users/{user name}/.JavaW
- /private/var/root/.JavaW
Rutina de puerta trasera
Ejecuta los comandos siguientes desde un usuario remoto malicioso:
- Execute scripts
- Download and execute arbitrary file
- Sleep
- Get node information
- Get Bot ID
Robo de información
Recopila los siguientes datos:
- UID
- Opened port
SOLUTION
Minimum scan engine: 9.700
First VSAPI Pattern File: 11.194.04
First VSAPI Pattern Release Date: 06 de октября de 2014
VSAPI OPR PATTERN-VERSION: 11.195.00
VSAPI OPR PATTERN DATE: 07 de октября de 2014