Apple-зомби: обнаружен первый ботнет из компьютеров Mac

Специалисты по информационной безопасности из компании Symantec обнаружили несомненные признаки того, что первый известный ботнет из компьютеров под управлением Mac OS X был создан с помощью пиратских версий офисного пакета iWork 09 и Adobe Photoshop CS4. Эти пакеты, распространявшиеся через сети P2P в начале 2009 года, содержали вредоносные файлы, использованные в дальнейшем для осуществления DoS-атак.

Сотрудники Symantec Марио Баллано Барцена (Mario Ballano Barcena) и Альфредо Песоли (Alfredo Pesoli) опубликовали сведения о двух версиях вредоносного ПО – OSX.Iservice и OSX.Iservice.B. Они используют различные техники с одной целью – похитить пароли пользователя и захватить управление его машиной. Эти программы были обнаружены в поддельных копиях пакетов iWork 09 и Adobe Photoshop CS4, ссылки на которые были размещены на одном из популярных торрент-трекеров. Автор вредоносного кода встраивал его в оригинальные версии пакетов и распространял их по сети. Количество пользователей, чьи компьютеры поражены этим кодом, насчитывает тысячи.

Удаленно управляемые компьютеры с операционной системой Mac OS X появлялись и раньше, но этот случай исследователи называют первой настоящей попыткой создать ботнет из компьютеров Mac. В качестве подтверждения они приводят слова австралийского программиста Пита Янделла (Pete Yandell), который в своем блоге описывает скрипт, запущенный с правами пользователя root и осуществляющий DoS-атаку. Однажды он обнаружил, что процессор его ноутбука под управлением OS X 10.5.6 загружен на 100%. Пит Янделл сообщает, что этот код, встроенный в инсталлятор, попал к нему в составе пробной версии пакета iWork 09, полученного через множество посредников.

Специалисты Symantec описывают в вирусном бюллетене механизм работы ботнета, использующего технологию peer-to-peer, особенности его запуска и возможности шифрования. Они считают, что автор вредоносного кода не использует его самостоятельно, а также предсказывают, учитывая гибкость и расширяемость сформированной сети, появление в ближайшем будущем новых, модифицированных версий этих программ.

По сравнению с платформой IBM PC, архитектура Mac всегда отличалась малым количеством вредоносных программ, и даже на состязании Pwn2Own, проводившемся на конференции CanSecWest 2009, никому не удалось взломать защиту браузера Safari, установленного на ноутбуке MacBook Air. По этой причине компьютеры от Apple считались более надежными, однако опыт показал, что и они не застрахованы от удаленного захвата, а случаи взлома этих систем, возможно, относительно редки из-за их меньшей распространенности.