信息安全研究人員近期發(fā)現(xiàn)，全球超過1.7萬臺(tái)mac電腦已經(jīng)感染了一種名為“iworm”的新的osx惡意軟件。這種惡意軟件曾使用reddit網(wǎng)站作為傳播媒介，能竊取用戶數(shù)據(jù)，觸發(fā)多種系統(tǒng)操作，并執(zhí)行l(wèi)ua腳本。

　　俄羅斯信息安全研究公司dr.web在病毒庫中將這一惡意軟件標(biāo)記為“mac.backdoor.iworm”。這是一種復(fù)雜的后門軟件，能在被感染的mac電腦上執(zhí)行多種命令，從而實(shí)現(xiàn)竊取用戶數(shù)據(jù)，以及遠(yuǎn)程遙控系統(tǒng)等目的。

　　在iworm被裝入mac電腦后，這一軟件會(huì)創(chuàng)建可執(zhí)行文件，打開一個(gè)端口，對多臺(tái)控制服務(wù)器發(fā)出請求，以等待進(jìn)一步指令。這一惡意軟件的特別之處在于能調(diào)用reddit的搜索服務(wù)獲得僵尸網(wǎng)絡(luò)的服務(wù)器列表。

　　reddit已經(jīng)封殺了這一惡意軟件發(fā)送的請求，但iworm的開發(fā)者很可能已通過其他搜索服務(wù)創(chuàng)建了又一個(gè)服務(wù)器列表。研究人員尚未發(fā)現(xiàn)該軟件使用了哪一搜索服務(wù)。

　　在iworm連接命令和控制服務(wù)器之后，將會(huì)以二進(jìn)制格式和lua腳本的方式拉取指令。服務(wù)器隨后可以向被感染的計(jì)算機(jī)發(fā)送其他惡意軟件，或從事其他惡意活動(dòng)。

　　iworm本身能夠收集并發(fā)送敏感的用戶信息，在配置文件中設(shè)置參數(shù)，觸發(fā)get請求，使mac電腦進(jìn)入休眠狀態(tài)，禁止某些節(jié)點(diǎn)，或運(yùn)行l(wèi)ua腳本。

　　由于iworm會(huì)被解壓至osx的一個(gè)文件夾，因此用戶可以很容易檢查，自己的mac電腦是否感染了這一惡意軟件。用戶只需點(diǎn)擊osx的finder菜單中的“go->gotofolder”選項(xiàng)，隨后輸入路徑“/library/applicationsupport/javaw”即可。如果osx找不到這一文件夾，那么mac電腦就是安全的。如果能找到這一文件夾，那么用戶需要安裝反病毒軟件，從硬盤中清理iworm。

　　根據(jù)dr.web的iworm統(tǒng)計(jì)分析數(shù)據(jù)，到9月26日，這一惡意軟件已經(jīng)感染了17658臺(tái)mac電腦。