Ślady pierwszej sieci botów na Macach
Pracownicy firmy Symantec informują o bezpośrednim związku między spreparowaną kopią oprogramowania Apple iWork 09 i czymś, co prawdopodobnie stanowi pierwszą sieć botów działającą na komputerach z Mac OS-em X.
Jak wynika z treści biuletynu Symantec, Mario Ballano Barcena i Alfredo Pesoli zaobserwowali dwa warianty trojana - OSX.Iservice i OSX.Iservice.B, które za pomocą różnych metod wykradają hasło użytkownika i przejmują kontrolę nad zainfekowanym Makiem.
Oba warianty trojanów zostały znalezione w zmanipulowanych kopiach programów iWork 09 i Adobe Photoshop CS4, które są rozpowszechniane za pośrednictwem BitTorrentów. Programy to wersje demo, które zostały rozbudowane o pakiety instalacyjne dla trojana. Maki użytkowników torrentów, którzy pobrali na swoje komputery spreparowane w ten sposób pliki, były infekowane trojanem podczas instalacji programów demo. Symantec podejrzewa, że ten problem może dotyczyć kilku tysięcy Macintoshy.
Internetowe wydanie "The Washington Post", powołując się na specjalistę od zabezpieczeń Davida Taylora z uniwersytetu w Pensylwanii, już przed trzema laty opisywało sieć botów działającą na bazie Maców i komputerów z Linuksem. Wykryty jesienią 2005 roku szkodliwy skrypt oparty był jednak na luce w PHP - przez co bardziej były wtedy narażone serwery sieciowe, nie zaś komputery osobiste.
Szkodliwe oprogramowanie, które właśnie się pojawiło, jest wprawdzie znane, ale teraz według specjalistów z Symanteca pojawiły się pierwsze wskazówki, które pozwalają przypuszczać, że opanowane w ten sposób komputery są wykorzystywane do zakłócania działania bliżej nieokreślonej strony i nękania jej atakami DDoS.
Podstawą takich ataków jest skrypt PHP wykonywany na komputerach na prawach roota. Nie zaobserwowano wprawdzie bezpośrednich ataków, ale można tak przypuszczać, bazując na adresie internetowym używanym w skrypcie oraz na bliżej nieokreślonym protokole, za pomocą którego dokonywany jest atak.
Poza tym artykuł pracowników Symanteca opisuje funkcję peer-to-peer tej sieci botów, szyfrowanie komunikacji i inne elementy. Jak podsumowują swoją analizę obaj autorzy, nie byłoby zaskakujące, gdyby na takich elastycznych i dających się rozbudowywać fundamentach powstały kolejne wersje tego "szkodnika".