Mac OS XバックドアiWorm 世界1万7千台感染のボットネット
 
世界約1万7千台のMac OS Xに感染してるボットネットを2014年9月に発見した、とロシアのセキュリティ会社 Docter Web が報告してます。 <感染経路は???
発見された新たなMac OS Xボットネット (Docter Web)
http://news.drweb.co.jp/show/?i=784

Mac.BackDoor.iWormに関する詳細  (Docter Web)
http://news.drweb.co.jp/show/?i=785

OSX/iWorm-A - Viruses and Spyware (Sophos)
http://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/OSX~iWorm-A/

9月26日時点で、感染マシンの地理的な位置はIPアドレスより上位は米国(約4,600台)、カナダ(約1,200台)、英国(約1,200台)。
 
その他にスペイン、フランス、オランダ、ブラジル、オーストラリア、スウェーデン、メキシコ、ロシアといったところが挙げられてます。

VirusTotalウイルススキャン より iWorm関連ファイル

> www.virustotal.com/ja/file/1fb2ffb9f958bf5561d726abae9a715674e73aa3b26bd544151b59dc140e53f9/analysis/1408103357/ (ffebeca75bf0479168df3485d832779c)

> www.virustotal.com/ja/file/0b374d3dfd2fcae65d191dd1810cd8cc0b497c48b509f260654b0f3fe4cc9f8f/analysis/1410011287/ (5b904bffff937bee97439869af103989)

> www.virustotal.com/ja/file/ab2c77b8131deffe74b819208286ce8ff081a685674375e7513f871c673dbd52/analysis/1409988149/ (b760f9652ee4069e69f8f67597f8b91b)

> www.virustotal.com/ja/file/d8a313afd2789b853b05cb897871ae4438170216e9ea5d4060670065e7ec34e5/analysis/1410011255/ (4b82994bcbaf88da5cb7bb99a622c014)
 
《ウイルス検出名例》
AVG OSX/iWorm.A OSX/Generic_c.DW
avast! MacOS:IWorm-A MacOS:IWorm-B
Avira MACOS/IWorm.A MACOS/Drop.Agent
BitDefender Mac.OSX.iWorm.A Mac.OSX.iWorm.B
Dr.Web Mac.BackDoor.iWorm
ESET OSX/TrojanDropper.Iservice.A OSX/Iservice.AG
Kaspersky Trojan-Dropper.OSX.Agent.c Backdoor.OSX.iWorm.f Backdoor.OSX.iWorm.g
Sophos OSX/iWorm-A OSX/Agent-AIAD
 +

ClamAV Osx.Worm.iworm
F-Secure Trojan-Dropper:OSX/Iworm
Symantec OSX.Luaddit
 


 
[4日 追記...]
 
Appleのフォーラムより iWorm 感染被害者?
mac.backdoor.iworm (Apple Support Communities)
https://discussions.apple.com/thread/6578425
ちなみに、このバックドアはボットネットを運用するC&C用のURLアドレスとして reddit に投稿されたデータを取得してたとのことだけど、悪用されてた該当ページは運営から凍結済み。
 
イメージ 1
Googleキャッシュに残ってたページ
 
いちおう名目上では minecraftserverlists (マインクラフト サーバーリスト)になってるん。
 

 
[4日 追記...]
 
iWorm感染ルートの1つ…
 
 
ファイル共有ソフト BitTorrent 上のネットワークで垂れ流されてた Adobe Illustrator、Adobe Photoshop、Parallels Desktop、Microsoft Office の海賊版インストーラ
 

 
[5日 追記...]
 
Mac OS X のウイルス検知システム XProtect の定義データが更新され iWorm が対応されるー。
 
OSX.iWorm.A OSX.iWorm.B OSX.iWorm.C
 
> configuration.apple.com/configurations/macosx/xprotect/3/clientConfiguration.plist