Před nedávnem se objevila takzvaná zadní vrátka, ovládaná skrze IRC, která posléze udělají z infikovaného přístroje bota pro útoky DDoS (Distributed Denial of Service). Zajímavé na tom však je, že se ten stejný virus objevil už zhruba před devíti lety jako verze pro Linux.

Výzkumný tým ESETu prozkoumal vzorky malwaru ohrožujícího platformy na OS X a zjistil, že funguje na binárním celku Mach-O, jenž je zaměřen proti Mac OS X. Rovněž se ukázalo, že je zdrojový kód derivací jiného malwaru, s kterým jsme se již setkali v minulosti. Jde o port zadních vrátek Linuxu, která jsme zaznamenávali v roce 2002 pod názvem Linux/Tsunami, pro OS X.

Analyzovaný vzorek v pevném kódu obsahuje seznam IRC serverů a kanálů, na které se snaží připojit. Pokud se to malwaru podaří, čeká a vykonává příkazy z kanálu. Seznam uznávaných příkazů můžete vidět v náhledovém obrázku.

Kromě DDoS útoků umožňují zadní vrátka vzdálenému uživateli nahrávat do infikovaného přístroje soubory jako další malware nebo aktualizace kódu Tsunami. Malware rovněž umí vytvářet Shell (interpret příkazů) prostředí, což dovoluje hackerům převzít kontrolu nad přístrojem. Bezpečnostní software ESET detekuje malware pod názvem OSX/Tsunami.A.

Zdroj: blog.eset.com