“iWorm”ReachInformation安全研究人员最近发现,全球有超过17,000台Mac感染了一种名为“iWorm”恶意软件的新OSX变种。该恶意软件使用Reddit网站作为传送工具,可以窃取用户数据、触发各种系统操作并执行Lua脚本。俄罗斯信息安全研究公司Dr.Web在病毒库中将此恶意软件标记为“Mac.BackDoor.iWorm”。这是一个复杂的后门软件,可以在受感染的Mac电脑上执行各种命令,从而达到窃取用户数据和远程控制系统的目的。在Mac上安装iWorm后,该软件会创建一个可执行文件,打开一个端口并向多个控制服务器发出请求,等待进一步的指令。这个恶意软件的特别之处在于它调用Reddit的搜索服务来获取僵尸网络服务器列表。Reddit已阻止来自此恶意软件的请求,但iWorm开发人员可能已通过其他搜索服务创建了另一个服务器列表。研究人员尚未确定该软件使用了哪种搜索服务。iWorm连接到命令和控制服务器后,它会拉取二进制格式的命令和Lua脚本。然后服务器可以将其他恶意软件传送到受感染的计算机,或从事其他恶意活动。iWorm本身能够收集和发送敏感的用户信息、在配置文件中设置参数、触发GET请求、让Mac休眠、禁止某些节点或运行Lua脚本。由于iWorm被提取到OSX中的一个文件夹中,用户可以轻松检查他们的Mac是否感染了恶意软件。用户只需要在OSX的Finder菜单中点击“Go->GotoFolder”选项,然后进入路径“/Library/ApplicationSupport/JavaW”即可。如果OSX找不到这个文件夹,那么Mac是安全的。如果可以找到该文件夹??,则用户需要安装杀毒软件对硬盘中的iWorm进行清理。根据Dr.Web对iWorm的统计分析,截至9月26日,该恶意软件已经感染了17,658台Mac电脑。
