Iworm kan ha drabbat 17 000 Mac‑datorer
Ett nytt säkerhetshot kan redan ha drabbat tusentals Mac-datorer, och installeras i hemlighet genom piratkopierade versioner av känd programvara. Apple har uppdaterat Xprotect för att leta efter malware-programmet som kallas "Iworm".
Det ryska antivirus-företaget Doctor Web har upptäckt ett nytt säkerhetshot mot OS X som redan har registrerats hos 17 000 olika IP-adresser världen över. Hotet, som heter Mac.Backdoor.Iworm, är ett så kallat malware, alltså ett litet program som användaren luras att installera och som sedan kan utföra en lång rad olika instruktioner på datorn.
Det nya hotet har hittats på tusentals IP-nummer världen över.
Bild: Dr Web
Det är inte helt säkert fastställt hur den skadliga programvaran installeras, men enligt anonyma tips till webbplatsen The Safe Mac är ursprunget olagliga piratkopior av andra program som laddas ned via torrentsajter så som The Pirate Bay. Programmet som i hemlighet huserar malware-programmet placerar detta i mappen JavaW på platsen /Library/Application Support/ i datorn. Detta behöver dock inte innebära att java används, utan det kan helt enkelt vara en plats att gömma undan hotet.
Mac.Backdoor.Iworm blir alltså installerat i samband med att den andra programvaran blir det, som användaren vill installera och därmed skriver in sitt administratörslösenord. Då skapas också en så kallad Plist-fil, vilket kan ses som en fil med information om hur en app ska uppföra sig på datorn. Därmed hålls det skadliga programmet igång i bakgrunden och öppnar för kommunikation via internet.
Det första som sker är att malware-programmet gör en sökning på nätforumet Reddit efter en sida som innehåller en lista över serveradresser, och sedan kontaktar en av dessa servrar. När den drabbade datorn är ansluten blir den en del av ett stort så kallat botnät, ett nätverk av infekterade datorer som kan ta emot instruktioner och utföra uppgifter.
Se om du är drabbad
För att kontrollera om en dator är drabbad är den enklaste metoden att från Finder klicka på menyn Gå, välja alternativet Gå till Mapp och sedan skriva in adressen /Library/Application Support/JavaW. Om datorn piper och ett meddelande säger att mappen inte kan hittas finns inte malware-programmet på datorn. Om mappen därmed öppnas är datorn infekterad.
I ett sådant läge är det inte säkert att det räcker med att radera mappen, eftersom programmet redan kan ha installerat kod och gjort ändringar på andra ställen. Apple har dock nu uppdaterat det inbyggda skyddet Xprotect som funnits i OS X sedan 10.6 Snow Leopard. Xprotect blockerar nu tre varianter av Mac.Backdoor.Iworm, de tre varianterna kallas OSX.Iworm.A, OSX.Iworm.B och OSX.Iworm.C.
Xprotect uppdateras automatiskt, så från användarens sida behöver ingenting göras. För att kontrollera när den senaste ändringen skedde går det att leta sig fram till /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources, och sedan se på datumet när filen XProtect.plist senast ändrades.
För att i allmänhet skydda sig mot dylika säkerhetshot rekommenderas inte att installera olagligt nedladdade versioner av programvara.