Update Троянской программой Flashback заражены 600 000 Mac [Update]

@Entze, ну, у Dr. Web большая заинтересованность в том, чтобы пользователи боялись троянов и приобретали их продукт. Поэтому я бы не стал верить всему, что они говорят, так-как всё может быть сильно преувеличено.

Entze5 апреля 2012

0

@Dimon_FI,
“Для того чтобы обезопасить свои компьютеры от возможности проникновения троянца BackDoor.Flashback.39 специалисты компании «Доктор Веб» рекомендуют пользователям Mac OS X загрузить и установить предлагаемое корпорацией Apple обновление безопасности: support.apple.com/kb/HT5228.”

Sergemiko14 апреля 2012

0

@Entze, и где это написано? В статье не найдено.

@numerouno, количество пользователей поделите на число дыр, увидите что даже так винда на порядок более дырява

Vladshee5 апреля 2012

0

@Uliss, винда “дырява” из-за её популярности, была где то статейка, что некоторые бреши в маках спустя пол года не закрывают, в отличие от хот фиксов тех же “форточек”.

имхо, если ничего не напутал.

Uliss5 апреля 2012

0

@Vladshee, вы почитайте лучше что это за бреши. Вирус типа: сам скачай, сам запусти, еще и права админа ему дай, чтобы работал. под винду эта пакость даже вирусом не считается. У любого в браузер посмотри куча всякой гадости стоит от яндекс бара, до шпионского по

Entze5 апреля 2012

0

@Uliss, крутая математика однако. Т.е. если в винде с ее ~89% будет найдена 1 дырка и в десктопном Линуксе с его 1% будет найдено 88 дырок, то винда все равно будет дырявее?

Uliss5 апреля 2012

0

@Entze, вы только делить научились, а логика отсутствует напрочь? 89/1 < 1/89 так что второе более дыряво. Не обязательно где меньше, то лучше.

@numerouno, а если 50 на 50? ;)

@numerouno, причем тут мак. Вы бы читали внимательнее чтоли. Проблема в Java – изза этой дыры троян скачивается на мак, но запуститься он все равно не сможет.
Так что пальцем в небо.

makkunzhut5 апреля 2012

0

@mumia, серьезно, что ли?

@Евгений, насколько я могу судить – нет, только обновляет яву (хотя как знать…)

@Apollo440, Установить антивирус, который знает BackDoor.Flashback.39 и умеет его удалять.

@Apollo440, http://vms.drweb.com/virus/?i=1816029
Тут полный расклад.

Если коротко, что в домашнем каталоге пользователя появляется файл – ‘.mkeeper’. Если предположить, что троян не требует пароля администратора, то контрольный .plist должен находиться в каталоге пользователя в /Users//Library/LaunchAgents

Называться может в приципе как угодно, по инфе Др.Веба название процесса – com.zeobit.keep, возможно это будет находиться в имени и файла.

Еще провериться на заразу можно открыв терминал и немного поработать в командной строке:

ls -la | grep -v ^drwx

Т.е. показать файлы, включая скрытые с правами датами и размерами, но не показывать каталоги.
получим вывод:

-rw——- 1 paul staff 4 22 июл 2011 .CFUserTextEncoding
-rw-r–r–@ 1 paul staff 24580 5 апр 22:54 .DS_Store
-rw——- 1 paul staff 0 25 фев 21:08 .Xauthority
-rw-r–r– 1 paul staff 573 4 мар 00:34 .anyconnect
-rw——- 1 paul staff 10659 5 апр 18:27 .bash_history
-rw——- 1 paul staff 75 2 мар 11:44 .lesshst
-rw——- 1 paul staff 1117 5 дек 15:39 .php_history
-rw——- 1 paul staff 12288 2 мар 19:44 .swn
-rw——- 1 paul staff 12288 8 ноя 18:22 .swo
-rw——- 1 paul staff 12288 26 окт 13:36 .swp
-rwxr-xr-x 1 paul staff 0 5 апр 23:04 .mkeeper
-rw——- 1 root staff 5309 2 апр 11:15 .viminfo

-rwxr-xr-x 1 paul staff 0 5 апр 23:04 .mkeeper
Вот это исполнимый файл. (в данном случае имитация вируса)
удаляется из той же командной строки:

rm .mkeeper

@Almazus, о, вы макруморс почитайте и аппэдвайс. И вайред, и вердж… ну, вы поняли.

@fuki69, тем не менее многие игнорируют автоматическое обновление ПО

@tormeneus, Количество дыр растёт с новыми версиями и наворотами. Какое-то количество своевременно латается, о каких-то просто пока неизвестно разработчикам! Вывод: будет расти не количетсво дыр (они просто уже есть), а станут известными их большее количество. И количество вирусов, использующих новонайденные дыры, будет увеличиваться. То, что это вирус не повышает привелегии и сидит в папке пользователя и делает своё дело из под урезанных прав не мешает ему делать задуманное. По такому пути идёт всё больше вирусов. Зачем заморачиваться ради повышения прав, когда DDOS можно и с ограниченными правами устроить. А тем более получить данные пользователя – ваще не нужны высокие права. Разве что сейчас есть тенденция и эти данные защищать на уровне системы. И перед использованием СВОЕЙ телефонной книжки скоро пользователь будет проводить биохимический анализ на достоверность запроса :). С эксплоитами уже давно борются производители аппаратного обеспечения и операционные системы – так сказать защищают систему от кривизны рук программистов и компиляторов. Но на этот лом есть другой лом – технологически более извращённый и пока начинает посещать всё меньшее количство “светлых” умов хакеров. В любой системе есть “лазейка” для проростания в глубинные процессы системы. Нужно только время, а нашедший делиться будет через год два – пока не найдёт ещё одну. Вышел новый iPhone 4S – и что? Да там есть бут, который не поддаётся анализу – простите, а как те же парни из DevTeam узнали, что он отключается от питания сразу после старта системы? Как они узнали вообще всю ту кучу информации о 4s изнутри (подтверждая данными, которые могут быть получены только своим присутствием в ядре системы), пока не было джейла? Да очень просто – для анализа они используют эксплоит, который держат при себе и ни когда не расскажут о нём. Да они в программе девелоперов и могут запускать свой не подписанный код и им копаться в системе, но не так глубоко, как это позволяет эксплоит с повышением прав.
В общем пока есть система – для неё есть дырки.
– Почему мой комп тормозит, вирусы цепляет?
– Не включай его – не будет!

@Xronos, Прогнал полную проверку вебом, BackDoor.Flashback.39 не нашел, но на мое удивление нашел какой-то другой троян в спотлайте и smssender в .mobilebackup. Касперский не нашел ничего. Вот я думаю, это ложное срабатывание веба или действительно что-то было.

ruhalek6 апреля 2012

0

@Whilser, это значит что вирус на телефоне, бейкап которого был сделан, при синхронизации, на мак.