Кликабельно
И вновь в истории со страданиями добропорядочных пользователей OS X от вредоносного ПО замешаны русские. Только на сей раз они на «стороне добра».
Отечественная компания Доктор Веб провела исследование, целью которого было определить количество компьютеров, заражённых троянской программой BackDoor.Flashback. Действует она следующим образом:
Заражение троянцем BackDoor.Flashback.39 осуществляется с использованием инфицированных сайтов и промежуточных TDS (Traffic Direction System, систем распределения трафика), перенаправляющих пользователей Mac OS X на вредоносный сайт. Таких страниц специалистами «Доктор Веб» было выявлено достаточно много — все они содержат Java-скрипт, загружающий в браузер пользователя Java-апплет, который, в свою очередь, содержит эксплойт.
— Специалисты Dr.Web
Всего в выдаче поисковика Google присутствует несколько миллионов (как говорят, 4 миллиона) страниц, заходя на которые, пользователь подвергает компьютер риску заражения. Троянец фактически превращает вашу машину в хост ботнета, но только если на жёстком диске не удалось обнаружить следующие файлы:
- /Library/Little Snitch
- /Developer/Applications/Xcode.app/Contents/MacOS/Xcode
- /Applications/VirusBarrier X6.app
- /Applications/iAntiVirus/iAntiVirus.app
- /Applications/avast!.app
- /Applications/ClamXav.app
- /Applications/HTTPScoop.app
- /Applications/Packet Peeper.app
Обратите внимание на вторую строку. Там значится среда разработки Xcode, таким образом, разработчики автоматически оказываются вне зоны риска.
16 марта злоумышленники в очередной раз модицифицировали троянца — с тех пор он использует новый эксплоит, тогда как Apple выпустила необходимую заплатку только позавчера! Отчасти благодаря этому ботнет насчитывает уже 600 тысяч компьютеров. В заголовке статьи — их распределение по миру в процентном соотношении.
То, что России там нет, не значит, что её нет вовсе. Финляндии мы тоже там не видим, а в ней, по сообщению аналитика Dr.Web Ивана Сорокина, находится 285 хостов. Ещё любопытные цифры: 274 хоста расположены в… Купертино. Помедлив с апдейтом, Apple подвергла опасности в том числе и саму себя.
Чтобы обезопаситься, скачивайте обновление Java либо через системное «Обновление ПО…», либо по прямым ссылкам с сайта поддержки Apple:
Update: чтобы узнать, заражён ли ваш компьютер, последовательно запустите в Терминале (Программы > Утилиты > Терминал) следующую пару команд:
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
Ответ на первую должен быть следующим:
The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist
На вторую — таким:
The domain/default pair of (/Users/[имя пользователя]/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist
Если же Терминал выдал что-то другое, следуйте подробным инструкциям по избавлению от троянца. Удачной охоты. [tuaw]
35 комментариев
Форум →Какая прелесть! По интернетам уже слышны вопли специалистов, считающих себя умнее ребят из Dr.Web и отрицающих проблему.
@Entze, ну, у Dr. Web большая заинтересованность в том, чтобы пользователи боялись троянов и приобретали их продукт. Поэтому я бы не стал верить всему, что они говорят, так-как всё может быть сильно преувеличено.
@Dimon_FI,
“Для того чтобы обезопасить свои компьютеры от возможности проникновения троянца BackDoor.Flashback.39 специалисты компании «Доктор Веб» рекомендуют пользователям Mac OS X загрузить и установить предлагаемое корпорацией Apple обновление безопасности: support.apple.com/kb/HT5228.”
@Entze, и где это написано? В статье не найдено.
Вот вам и “На Мак нет вредоносного ПО”, “Винда дырявая”, и т.д… Если бы 98% населения сидели на Маках, то дырявой бы называли именно Мак =)
@numerouno, количество пользователей поделите на число дыр, увидите что даже так винда на порядок более дырява
@Uliss, винда “дырява” из-за её популярности, была где то статейка, что некоторые бреши в маках спустя пол года не закрывают, в отличие от хот фиксов тех же “форточек”.
имхо, если ничего не напутал.
@Vladshee, вы почитайте лучше что это за бреши. Вирус типа: сам скачай, сам запусти, еще и права админа ему дай, чтобы работал. под винду эта пакость даже вирусом не считается. У любого в браузер посмотри куча всякой гадости стоит от яндекс бара, до шпионского по
@Uliss, крутая математика однако. Т.е. если в винде с ее ~89% будет найдена 1 дырка и в десктопном Линуксе с его 1% будет найдено 88 дырок, то винда все равно будет дырявее?
@Entze, вы только делить научились, а логика отсутствует напрочь? 89/1 < 1/89 так что второе более дыряво. Не обязательно где меньше, то лучше.
@numerouno, а если 50 на 50? ;)
@numerouno, причем тут мак. Вы бы читали внимательнее чтоли. Проблема в Java – изза этой дыры троян скачивается на мак, но запуститься он все равно не сможет.
Так что пальцем в небо.
@mumia, серьезно, что ли?
Апдейт вылечивает от трояна, если оный уже внутри?
@Евгений, насколько я могу судить – нет, только обновляет яву (хотя как знать…)
Апдейт весит 66,6мб. Символично)
Ja odnogo ne ponjal … kak prover’ti zarazen li moj Mac i kak potom ot trojana izbavitsjsja?
@Apollo440, Установить антивирус, который знает BackDoor.Flashback.39 и умеет его удалять.
@Apollo440, http://vms.drweb.com/virus/?i=1816029
Тут полный расклад.
Если коротко, что в домашнем каталоге пользователя появляется файл – ‘.mkeeper’. Если предположить, что троян не требует пароля администратора, то контрольный .plist должен находиться в каталоге пользователя в /Users//Library/LaunchAgents
Называться может в приципе как угодно, по инфе Др.Веба название процесса – com.zeobit.keep, возможно это будет находиться в имени и файла.
Еще провериться на заразу можно открыв терминал и немного поработать в командной строке:
ls -la | grep -v ^drwx
Т.е. показать файлы, включая скрытые с правами датами и размерами, но не показывать каталоги.
получим вывод:
-rw——- 1 paul staff 4 22 июл 2011 .CFUserTextEncoding
-rw-r–r–@ 1 paul staff 24580 5 апр 22:54 .DS_Store
-rw——- 1 paul staff 0 25 фев 21:08 .Xauthority
-rw-r–r– 1 paul staff 573 4 мар 00:34 .anyconnect
-rw——- 1 paul staff 10659 5 апр 18:27 .bash_history
-rw——- 1 paul staff 75 2 мар 11:44 .lesshst
-rw——- 1 paul staff 1117 5 дек 15:39 .php_history
-rw——- 1 paul staff 12288 2 мар 19:44 .swn
-rw——- 1 paul staff 12288 8 ноя 18:22 .swo
-rw——- 1 paul staff 12288 26 окт 13:36 .swp
-rwxr-xr-x 1 paul staff 0 5 апр 23:04 .mkeeper
-rw——- 1 root staff 5309 2 апр 11:15 .viminfo
-rwxr-xr-x 1 paul staff 0 5 апр 23:04 .mkeeper
Вот это исполнимый файл. (в данном случае имитация вируса)
удаляется из той же командной строки:
rm .mkeeper
Первая строчка в списке “вакцинирующих” программ /Library/Little Snitch распространена значительно больше. Это программа из джентльменского набора, особенно в России.
Т.ч. – “нам не страшен серый волк…”
начинаю задумываться об антивирусе для мака… на уме два варианта антивирусной программы :)
Много раз замечал что новости на Lenta.ru иногда совпадают с новостями здесь ;) Интересно кто у кого идею берет ?
@Almazus, о, вы макруморс почитайте и аппэдвайс. И вайред, и вердж… ну, вы поняли.
“Для того чтобы обезопасить свои компьютеры от возможности проникновения троянца BackDoor.Flashback.39 специалисты компании «Доктор Веб» рекомендуют пользователям Mac OS X загрузить и установить предлагаемое корпорацией Apple обновление безопасности: support.apple.com/kb/HT5228.”
Это обновление безопасности, как и прочие, устанавливается на Маки автоматом при плановом обновлении, которое делает сама ОС – зачем что-то рекомендовать-то?
@fuki69, тем не менее многие игнорируют автоматическое обновление ПО
Пиар в стиле Доктора Веба и не более)))
Пусть кто-нибудь напишет, если у него эта хрень сидит в Маке) Так, чисто интересно. А то….. )
Проверил, ради хохмы все маки свои и рабочие…… Резалт и ожидаемый))) Тихо все
Произнесите вслух: «Мак сверхзащищен, мне ничего не грозит, Apple заботится обо мне, доктор вэб пиарится, вирусов под мак ось не бывает…». Теперь вы полностью защищены.
Всем остальным поможет своя голова на плечах, которая подскажет, что абсолютной защиты нет и не будет. И с ростом популярности маков количество дыр и вирусов только будет увеличиваться.
@tormeneus, Количество дыр растёт с новыми версиями и наворотами. Какое-то количество своевременно латается, о каких-то просто пока неизвестно разработчикам! Вывод: будет расти не количетсво дыр (они просто уже есть), а станут известными их большее количество. И количество вирусов, использующих новонайденные дыры, будет увеличиваться. То, что это вирус не повышает привелегии и сидит в папке пользователя и делает своё дело из под урезанных прав не мешает ему делать задуманное. По такому пути идёт всё больше вирусов. Зачем заморачиваться ради повышения прав, когда DDOS можно и с ограниченными правами устроить. А тем более получить данные пользователя – ваще не нужны высокие права. Разве что сейчас есть тенденция и эти данные защищать на уровне системы. И перед использованием СВОЕЙ телефонной книжки скоро пользователь будет проводить биохимический анализ на достоверность запроса :). С эксплоитами уже давно борются производители аппаратного обеспечения и операционные системы – так сказать защищают систему от кривизны рук программистов и компиляторов. Но на этот лом есть другой лом – технологически более извращённый и пока начинает посещать всё меньшее количство “светлых” умов хакеров. В любой системе есть “лазейка” для проростания в глубинные процессы системы. Нужно только время, а нашедший делиться будет через год два – пока не найдёт ещё одну. Вышел новый iPhone 4S – и что? Да там есть бут, который не поддаётся анализу – простите, а как те же парни из DevTeam узнали, что он отключается от питания сразу после старта системы? Как они узнали вообще всю ту кучу информации о 4s изнутри (подтверждая данными, которые могут быть получены только своим присутствием в ядре системы), пока не было джейла? Да очень просто – для анализа они используют эксплоит, который держат при себе и ни когда не расскажут о нём. Да они в программе девелоперов и могут запускать свой не подписанный код и им копаться в системе, но не так глубоко, как это позволяет эксплоит с повышением прав.
В общем пока есть система – для неё есть дырки.
– Почему мой комп тормозит, вирусы цепляет?
– Не включай его – не будет!
Вывод: «покупайте Доктор Веб для Mac по спец цене до конца месяца»!
Так проверяем через терминал Сафарик. А если браузер по-умолчанию отличный от него, Хром, например?
Прогнал в терминале пару команд приведенных выше – всё тихо .. Ни одного троянца не увидел :((( .. пИчалька ..
@Xronos, Прогнал полную проверку вебом, BackDoor.Flashback.39 не нашел, но на мое удивление нашел какой-то другой троян в спотлайте и smssender в .mobilebackup. Касперский не нашел ничего. Вот я думаю, это ложное срабатывание веба или действительно что-то было.
@Whilser, это значит что вирус на телефоне, бейкап которого был сделан, при синхронизации, на мак.
Рассказал другу-маководу про эту новость – так он наотрез отказывался в это верить, пока я не дал ему прочитать эту статью. Как же теперь Говорить что под мак вирусов нет и не может быть :((( когда вот они вот они… Все больше и больше все чаще и чаще…((
Нашли орфографическую ошибку в новости?
Выделите ее мышью и нажмите Ctrl+Enter.Почему на iPhone неактивен переключатель Wi-Fi
Как убрать странный бейдж с иконки приложения?
Как на iPhone настроить разную громкость для каждого профиля Фокусирования
Как автоматически отвечать на звонки c iPhone
Почему iPhone не может выйти в интернет по Wi-Fi
Как автоматически ставить точку и заглавную букву в OS X и macOS?
Включаем рукописный ввод в браузере на iPhone
Как найти iPhone дома, если включен беззвучный режим