セキュリティ組織の米サンズ・インスティチュート(SANS Institute)は2008年2月28日、同組織の公式ブログにおいて、Mac OS上で動作するボット(ウイルス)を確認したことを伝えた。FreeBSDやLinuxに感染するボットも発見したという。
ボットとは、感染パソコンを攻撃者が自由に操れるようにするウイルスのこと。ユーザー数が多いことから、ボットのほとんどはWindows上で動作するように作成されているが、今回確認したボットは、Mac OS用に作られていたという。また、FreeBSDマシンやLinuxマシンに感染するボットも確認したとしている。
これらのボットは、「EnergyMech」と呼ばれるボットのソースコードをベースにしているという。EnergyMechをベースにしたソースコードを、それぞれのOS用にコンパイルして作られている。
Mac OS用などに作られている点以外は、一般的なボットとほとんど同じ。攻撃者とのやり取りには、「IRC」と呼ばれる通信方法(プロトコル)を利用する。ユーザーのパソコンに感染すると、「Undernet」というIRCネットワークに接続して、攻撃者からの命令を待ち受ける。
サンズのスタッフは、32種類のウイルス対策ソフトで検査できるWebサイト「VirusTotal」を使って今回のボットを調査。その結果、Linux版については23製品で、FreeBSD版については24製品で検出できたが、Mac OS版についてはどの製品も検出できなかったという。
ただしこの結果については、公式ブログの読者からコメントが寄せられ、サンズでは情報を追加。Linux版とFreeBSD版のボットについては、別のウイルスが感染していた可能性があるとしている。つまり、VirusTotalはボット本体ではなく、ボットに感染した別のウイルスを検出した可能性があるという。
