Кликабельно
И вновь в истории со страданиями добропорядочных пользователей OS X от вредоносного ПО замешаны русские. Только на сей раз они на «стороне добра».
Отечественная компания Доктор Веб провела исследование, целью которого было определить количество компьютеров, заражённых троянской программой BackDoor.Flashback. Действует она следующим образом:
Заражение троянцем BackDoor.Flashback.39 осуществляется с использованием инфицированных сайтов и промежуточных TDS (Traffic Direction System, систем распределения трафика), перенаправляющих пользователей Mac OS X на вредоносный сайт. Таких страниц специалистами «Доктор Веб» было выявлено достаточно много — все они содержат Java-скрипт, загружающий в браузер пользователя Java-апплет, который, в свою очередь, содержит эксплойт.
— Специалисты Dr.Web
Всего в выдаче поисковика Google присутствует несколько миллионов (как говорят, 4 миллиона) страниц, заходя на которые, пользователь подвергает компьютер риску заражения. Троянец фактически превращает вашу машину в хост ботнета, но только если на жёстком диске не удалось обнаружить следующие файлы:
- /Library/Little Snitch
- /Developer/Applications/Xcode.app/Contents/MacOS/Xcode
- /Applications/VirusBarrier X6.app
- /Applications/iAntiVirus/iAntiVirus.app
- /Applications/avast!.app
- /Applications/ClamXav.app
- /Applications/HTTPScoop.app
- /Applications/Packet Peeper.app
Обратите внимание на вторую строку. Там значится среда разработки Xcode, таким образом, разработчики автоматически оказываются вне зоны риска.
16 марта злоумышленники в очередной раз модицифицировали троянца — с тех пор он использует новый эксплоит, тогда как Apple выпустила необходимую заплатку только позавчера! Отчасти благодаря этому ботнет насчитывает уже 600 тысяч компьютеров. В заголовке статьи — их распределение по миру в процентном соотношении.
То, что России там нет, не значит, что её нет вовсе. Финляндии мы тоже там не видим, а в ней, по сообщению аналитика Dr.Web Ивана Сорокина, находится 285 хостов. Ещё любопытные цифры: 274 хоста расположены в… Купертино. Помедлив с апдейтом, Apple подвергла опасности в том числе и саму себя.
Чтобы обезопаситься, скачивайте обновление Java либо через системное «Обновление ПО…», либо по прямым ссылкам с сайта поддержки Apple:
Update: чтобы узнать, заражён ли ваш компьютер, последовательно запустите в Терминале (Программы > Утилиты > Терминал) следующую пару команд:
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
Ответ на первую должен быть следующим:
The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist
На вторую — таким:
The domain/default pair of (/Users/[имя пользователя]/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist
Если же Терминал выдал что-то другое, следуйте подробным инструкциям по избавлению от троянца. Удачной охоты. [tuaw]
Какая прелесть! По интернетам уже слышны вопли специалистов, считающих себя умнее ребят из Dr.Web и отрицающих проблему.
@Entze, ну, у Dr. Web большая заинтересованность в том, чтобы пользователи боялись троянов и приобретали их продукт. Поэтому я бы не стал верить всему, что они говорят, так-как всё может быть сильно преувеличено.
@Dimon_FI,
“Для того чтобы обезопасить свои компьютеры от возможности проникновения троянца BackDoor.Flashback.39 специалисты компании «Доктор Веб» рекомендуют пользователям Mac OS X загрузить и установить предлагаемое корпорацией Apple обновление безопасности: support.apple.com/kb/HT5228.”
@Entze, и где это написано? В статье не найдено.