Защити созданное

Другие наши ресурсы

  • free.drweb.ru — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.ru — сетевая лечащая утилита Dr.Web CureNet!
  • www.drweb.ru/web-iq — ВебIQметр
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype

Свяжитесь с нами

Профиль

Профиль

Mac.Iservice.2

(OSX.Iservice, OSX/iWorkS-B, Backdoor.OSX.iWorm.b, Parser error, Backdoor:OSX/IworkServ.B)
Добавлен в вирусную базу Dr.Web:2009-05-15
Описание добавлено:2009-05-16
Техническая информация

Распространяется в пиратских дистрибутивах известных программ для платформы Mac OS X. В отличии от Mac.Iservice.1, эта модификация троянца распространяется в составе пиратских дистрибутивов известных программ в виде программ генераторов лицензий (keygen). Именно эти генераторы и устанавливают в систему троянскую программу, причем при запуске такого генератора он запрашивает ввести пароль администратора, что само по себе является подозрительным. После запуска и ввода пароля администратора в систему устанавливается и активируется троянская программа.

В процессе установки вирус копирует себя в следующие системные каталоги: Исполняемый файл троянской программы устанавливается в /usr/bin/ DivX. Для автозапуска вместе со стартом системы тронская программа прописывает себя в качестве параметра автозагрузки в /System/Library/StartupItems/DivX/

Здесь размещается shell-скрипт со следующим содержимым:

#!/bin/sh

/usr/bin/DivX &

Его задачей является запустить на выполнения троянскую программу, которая в случаи наличия интернет-соединения активирует зараженную машину в ботнет-сеть.

Конфигурационный файл расположен здесь:

  • /System/Library/StartupItems/DivX/StartupParameters.plist
  • По умолчанию файл StartupParameters.plist содержит следующие параметры:

    {

    Description = ("DivX");

    Provides = ("DivX");

    Requires = ("Network");

    OrderPreference = "None";}

    Зараженным компьютером осуществляется сетевое взаимодействие по протоколу TCP со следующими хостами (хост:порт):

  • 69.*.*.146:59201
  • qw*****k.free*****a.com:1024
  • Зараженный хост становится частью ботнета и может удаленно выполнять следующий набор команд:

    Конфигурирование бота:

  • clear - удаление значения параметра из конфигурационного файла бота
  • get - получить значение параметра из конфигурационного файла бота
  • Обновление и добавление функционала:

  • httpget - скачать удаленный файл
  • httpgeted - скачать удаленный файл и запустить его на выполнение
  • Управление ботом:

  • sendlogs - получить лог-файл именем "ff"
  • platform - каждый раз возвращает "OSX"
  • rand - генерация псевдослучайного числа
  • rshell - установить удаленное соединение с host:port
  • script - выполнение сценария на языке программирования LUA
  • set - установка параметров в конфигурационный файл бота
  • shell - открыть системную консоль по заданному порту
  • sleep - остановиться на указанный временной интервал
  • system - выполнить заданную системную команду
  • uid - получить уникальный идентификатор бота
  • uptime - время работы бота без перезагрузки
  • Управление p2p-ботнетом:

  • p2pihist
  • p2pihistsize
  • p2plock
  • p2pmode
  • p2ppeer
  • p2ppeerport
  • p2ppeertype
  • p2pport
  • p2punlock
  • banadd
  • banclear
  • socks
  • leafs
  • nodes
  • Рекомендации по лечению


    macOS

    Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

    Демо бесплатно

    На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

    Скачать Dr.Web

    По серийному номеру

    Российский разработчик антивирусов Dr.Web

    Опыт разработки с 1992 года

    Dr.Web пользуются в 200+ странах мира

    Dr.Web в Реестре Отечественного ПО

    Поставка антивируса как услуги с 2007 года

    Круглосуточная поддержка на русском языке

    © «Доктор Веб»
    2003 — 2018

    «Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

    125040, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А