Update Троянской программой Flashback заражены 600 000 Mac [Update]

|
FavoriteLoading В закладки
Троянской программой Flashback заражены 600 000 Mac [Update]


Кликабельно

И вновь в истории со страданиями добропорядочных пользователей OS X от вредоносного ПО замешаны русские. Только на сей раз они на «стороне добра».

Отечественная компания Доктор Веб провела исследование, целью которого было определить количество компьютеров, заражённых троянской программой BackDoor.Flashback. Действует она следующим образом:

Заражение троянцем BackDoor.Flashback.39 осуществляется с использованием инфицированных сайтов и промежуточных TDS (Traffic Direction System, систем распределения трафика), перенаправляющих пользователей Mac OS X на вредоносный сайт. Таких страниц специалистами «Доктор Веб» было выявлено достаточно много — все они содержат Java-скрипт, загружающий в браузер пользователя Java-апплет, который, в свою очередь, содержит эксплойт.

— Специалисты Dr.Web

Всего в выдаче поисковика Google присутствует несколько миллионов (как говорят, 4 миллиона) страниц, заходя на которые, пользователь подвергает компьютер риску заражения. Троянец фактически превращает вашу машину в хост ботнета, но только если на жёстком диске не удалось обнаружить следующие файлы:

  • /Library/Little Snitch
  • /Developer/Applications/Xcode.app/Contents/MacOS/Xcode
  • /Applications/VirusBarrier X6.app
  • /Applications/iAntiVirus/iAntiVirus.app
  • /Applications/avast!.app
  • /Applications/ClamXav.app
  • /Applications/HTTPScoop.app
  • /Applications/Packet Peeper.app

Обратите внимание на вторую строку. Там значится среда разработки Xcode, таким образом, разработчики автоматически оказываются вне зоны риска.

16 марта злоумышленники в очередной раз модицифицировали троянца — с тех пор он использует новый эксплоит, тогда как Apple выпустила необходимую заплатку только позавчера! Отчасти благодаря этому ботнет насчитывает уже 600 тысяч компьютеров. В заголовке статьи — их распределение по миру в процентном соотношении.

То, что России там нет, не значит, что её нет вовсе. Финляндии мы тоже там не видим, а в ней, по сообщению аналитика Dr.Web Ивана Сорокина, находится 285 хостов. Ещё любопытные цифры: 274 хоста расположены в… Купертино. Помедлив с апдейтом, Apple подвергла опасности в том числе и саму себя.

Чтобы обезопаситься, скачивайте обновление Java либо через системное «Обновление ПО…», либо по прямым ссылкам с сайта поддержки Apple:

[dr.web & twitter via ai.com]

Update: чтобы узнать, заражён ли ваш компьютер, последовательно запустите в Терминале (Программы > Утилиты > Терминал) следующую пару команд:

defaults read /Applications/Safari.app/Contents/Info LSEnvironment

defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

Ответ на первую должен быть следующим:

The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist

На вторую — таким:

The domain/default pair of (/Users/[имя пользователя]/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist

Если же Терминал выдал что-то другое, следуйте подробным инструкциям по избавлению от троянца. Удачной охоты. [tuaw]

Ух ты, новинки Apple: Facebook, ВКонтакте и Telegram


Хочешь получать от нас новости Apple? Да | Нет

undefined
iPhones.ru
Кликабельно И вновь в истории со страданиями добропорядочных пользователей OS X от вредоносного ПО замешаны русские. Только на сей раз они на «стороне добра». Отечественная компания Доктор Веб провела исследование, целью которого было определить количество компьютеров, заражённых троянской программой BackDoor.Flashback. Действует она следующим образом: Заражение троянцем BackDoor.Flashback.39 осуществляется с использованием инфицированных сайтов и промежуточных TDS...
Прокомментировать

🙈 Комментарии 35

  1. Entze avatar
    Entze5 апреля 2012
    0

    Какая прелесть! По интернетам уже слышны вопли специалистов, считающих себя умнее ребят из Dr.Web и отрицающих проблему.

    Dimon_FI avatar
    Dimon_FI5 апреля 2012
    0

    @Entze, ну, у Dr. Web большая заинтересованность в том, чтобы пользователи боялись троянов и приобретали их продукт. Поэтому я бы не стал верить всему, что они говорят, так-как всё может быть сильно преувеличено.

    Entze avatar
    Entze5 апреля 2012
    0

    @Dimon_FI,
    “Для того чтобы обезопасить свои компьютеры от возможности проникновения троянца BackDoor.Flashback.39 специалисты компании «Доктор Веб» рекомендуют пользователям Mac OS X загрузить и установить предлагаемое корпорацией Apple обновление безопасности: support.apple.com/kb/HT5228.”

    Sergemiko avatar
    Sergemiko14 апреля 2012
    0

    @Entze, и где это написано? В статье не найдено.

  2. numerouno avatar
    numerouno5 апреля 2012
    0

    Вот вам и “На Мак нет вредоносного ПО”, “Винда дырявая”, и т.д… Если бы 98% населения сидели на Маках, то дырявой бы называли именно Мак =)

    Uliss avatar
    Uliss5 апреля 2012
    0

    @numerouno, количество пользователей поделите на число дыр, увидите что даже так винда на порядок более дырява

    Vladshee avatar
    Vladshee5 апреля 2012
    0

    @Uliss, винда “дырява” из-за её популярности, была где то статейка, что некоторые бреши в маках спустя пол года не закрывают, в отличие от хот фиксов тех же “форточек”.

    имхо, если ничего не напутал.

    Uliss avatar
    Uliss5 апреля 2012
    0

    @Vladshee, вы почитайте лучше что это за бреши. Вирус типа: сам скачай, сам запусти, еще и права админа ему дай, чтобы работал. под винду эта пакость даже вирусом не считается. У любого в браузер посмотри куча всякой гадости стоит от яндекс бара, до шпионского по

    Entze avatar
    Entze5 апреля 2012
    0

    @Uliss, крутая математика однако. Т.е. если в винде с ее ~89% будет найдена 1 дырка и в десктопном Линуксе с его 1% будет найдено 88 дырок, то винда все равно будет дырявее?

    Uliss avatar
    Uliss5 апреля 2012
    0

    @Entze, вы только делить научились, а логика отсутствует напрочь? 89/1 < 1/89 так что второе более дыряво. Не обязательно где меньше, то лучше.

    Andy007 avatar
    Andy0075 апреля 2012
    0

    @numerouno, а если 50 на 50? ;)

    mumia avatar
    mumia5 апреля 2012
    0

    @numerouno, причем тут мак. Вы бы читали внимательнее чтоли. Проблема в Java – изза этой дыры троян скачивается на мак, но запуститься он все равно не сможет.
    Так что пальцем в небо.

    makkunzhut avatar
    makkunzhut5 апреля 2012
    0

    @mumia, серьезно, что ли?

  3. Евгений avatar
    Евгений5 апреля 2012
    0

    Апдейт вылечивает от трояна, если оный уже внутри?

    Vladshee avatar
    Vladshee5 апреля 2012
    0

    @Евгений, насколько я могу судить – нет, только обновляет яву (хотя как знать…)

  4. alexber avatar
    alexber5 апреля 2012
    0

    Апдейт весит 66,6мб. Символично)

  5. Apollo440 avatar
    Apollo4405 апреля 2012
    0

    Ja odnogo ne ponjal … kak prover’ti zarazen li moj Mac i kak potom ot trojana izbavitsjsja?

    Whilser avatar
    Whilser5 апреля 2012
    0

    @Apollo440, Установить антивирус, который знает BackDoor.Flashback.39 и умеет его удалять.

    token avatar
    token5 апреля 2012
    0

    @Apollo440, http://vms.drweb.com/virus/?i=1816029
    Тут полный расклад.

    Если коротко, что в домашнем каталоге пользователя появляется файл – ‘.mkeeper’. Если предположить, что троян не требует пароля администратора, то контрольный .plist должен находиться в каталоге пользователя в /Users//Library/LaunchAgents

    Называться может в приципе как угодно, по инфе Др.Веба название процесса – com.zeobit.keep, возможно это будет находиться в имени и файла.

    Еще провериться на заразу можно открыв терминал и немного поработать в командной строке:

    ls -la | grep -v ^drwx

    Т.е. показать файлы, включая скрытые с правами датами и размерами, но не показывать каталоги.
    получим вывод:

    -rw——- 1 paul staff 4 22 июл 2011 .CFUserTextEncoding
    -rw-r–r–@ 1 paul staff 24580 5 апр 22:54 .DS_Store
    -rw——- 1 paul staff 0 25 фев 21:08 .Xauthority
    -rw-r–r– 1 paul staff 573 4 мар 00:34 .anyconnect
    -rw——- 1 paul staff 10659 5 апр 18:27 .bash_history
    -rw——- 1 paul staff 75 2 мар 11:44 .lesshst
    -rw——- 1 paul staff 1117 5 дек 15:39 .php_history
    -rw——- 1 paul staff 12288 2 мар 19:44 .swn
    -rw——- 1 paul staff 12288 8 ноя 18:22 .swo
    -rw——- 1 paul staff 12288 26 окт 13:36 .swp
    -rwxr-xr-x 1 paul staff 0 5 апр 23:04 .mkeeper
    -rw——- 1 root staff 5309 2 апр 11:15 .viminfo

    -rwxr-xr-x 1 paul staff 0 5 апр 23:04 .mkeeper
    Вот это исполнимый файл. (в данном случае имитация вируса)
    удаляется из той же командной строки:

    rm .mkeeper

  6. Linwood avatar
    Linwood5 апреля 2012
    0

    Первая строчка в списке “вакцинирующих” программ /Library/Little Snitch распространена значительно больше. Это программа из джентльменского набора, особенно в России.
    Т.ч. – “нам не страшен серый волк…”

  7. Whilser avatar
    Whilser5 апреля 2012
    0

    начинаю задумываться об антивирусе для мака… на уме два варианта антивирусной программы :)

  8. Almazus avatar
    Almazus5 апреля 2012
    0

    Много раз замечал что новости на Lenta.ru иногда совпадают с новостями здесь ;) Интересно кто у кого идею берет ?

    iDoom avatar
    iDoom6 апреля 2012
    0

    @Almazus, о, вы макруморс почитайте и аппэдвайс. И вайред, и вердж… ну, вы поняли.

  9. fuki69 avatar
    fuki695 апреля 2012
    0

    “Для того чтобы обезопасить свои компьютеры от возможности проникновения троянца BackDoor.Flashback.39 специалисты компании «Доктор Веб» рекомендуют пользователям Mac OS X загрузить и установить предлагаемое корпорацией Apple обновление безопасности: support.apple.com/kb/HT5228.”

    Это обновление безопасности, как и прочие, устанавливается на Маки автоматом при плановом обновлении, которое делает сама ОС – зачем что-то рекомендовать-то?

    makkunzhut avatar
    makkunzhut5 апреля 2012
    0

    @fuki69, тем не менее многие игнорируют автоматическое обновление ПО

  10. Tketano avatar
    Tketano5 апреля 2012
    0

    Пиар в стиле Доктора Веба и не более)))

  11. Platini avatar
    Platini5 апреля 2012
    0

    Пусть кто-нибудь напишет, если у него эта хрень сидит в Маке) Так, чисто интересно. А то….. )
    Проверил, ради хохмы все маки свои и рабочие…… Резалт и ожидаемый))) Тихо все

  12. tormeneus avatar
    tormeneus6 апреля 2012
    0

    Произнесите вслух: «Мак сверхзащищен, мне ничего не грозит, Apple заботится обо мне, доктор вэб пиарится, вирусов под мак ось не бывает…». Теперь вы полностью защищены.
    Всем остальным поможет своя голова на плечах, которая подскажет, что абсолютной защиты нет и не будет. И с ростом популярности маков количество дыр и вирусов только будет увеличиваться.

    MatveyYo avatar
    MatveyYo6 апреля 2012
    0

    @tormeneus, Количество дыр растёт с новыми версиями и наворотами. Какое-то количество своевременно латается, о каких-то просто пока неизвестно разработчикам! Вывод: будет расти не количетсво дыр (они просто уже есть), а станут известными их большее количество. И количество вирусов, использующих новонайденные дыры, будет увеличиваться. То, что это вирус не повышает привелегии и сидит в папке пользователя и делает своё дело из под урезанных прав не мешает ему делать задуманное. По такому пути идёт всё больше вирусов. Зачем заморачиваться ради повышения прав, когда DDOS можно и с ограниченными правами устроить. А тем более получить данные пользователя – ваще не нужны высокие права. Разве что сейчас есть тенденция и эти данные защищать на уровне системы. И перед использованием СВОЕЙ телефонной книжки скоро пользователь будет проводить биохимический анализ на достоверность запроса :). С эксплоитами уже давно борются производители аппаратного обеспечения и операционные системы – так сказать защищают систему от кривизны рук программистов и компиляторов. Но на этот лом есть другой лом – технологически более извращённый и пока начинает посещать всё меньшее количство “светлых” умов хакеров. В любой системе есть “лазейка” для проростания в глубинные процессы системы. Нужно только время, а нашедший делиться будет через год два – пока не найдёт ещё одну. Вышел новый iPhone 4S – и что? Да там есть бут, который не поддаётся анализу – простите, а как те же парни из DevTeam узнали, что он отключается от питания сразу после старта системы? Как они узнали вообще всю ту кучу информации о 4s изнутри (подтверждая данными, которые могут быть получены только своим присутствием в ядре системы), пока не было джейла? Да очень просто – для анализа они используют эксплоит, который держат при себе и ни когда не расскажут о нём. Да они в программе девелоперов и могут запускать свой не подписанный код и им копаться в системе, но не так глубоко, как это позволяет эксплоит с повышением прав.
    В общем пока есть система – для неё есть дырки.
    – Почему мой комп тормозит, вирусы цепляет?
    – Не включай его – не будет!

  13. iDoom avatar
    iDoom6 апреля 2012
    0

    Вывод: «покупайте Доктор Веб для Mac по спец цене до конца месяца»!

  14. iDoom avatar
    iDoom6 апреля 2012
    0

    Так проверяем через терминал Сафарик. А если браузер по-умолчанию отличный от него, Хром, например?

  15. Xronos avatar
    Xronos6 апреля 2012
    0

    Прогнал в терминале пару команд приведенных выше – всё тихо .. Ни одного троянца не увидел :((( .. пИчалька ..

    Whilser avatar
    Whilser6 апреля 2012
    0

    @Xronos, Прогнал полную проверку вебом, BackDoor.Flashback.39 не нашел, но на мое удивление нашел какой-то другой троян в спотлайте и smssender в .mobilebackup. Касперский не нашел ничего. Вот я думаю, это ложное срабатывание веба или действительно что-то было.

    ruhalek avatar
    ruhalek6 апреля 2012
    0

    @Whilser, это значит что вирус на телефоне, бейкап которого был сделан, при синхронизации, на мак.

  16. di3x avatar
    di3x7 апреля 2012
    0

    Рассказал другу-маководу про эту новость – так он наотрез отказывался в это верить, пока я не дал ему прочитать эту статью. Как же теперь Говорить что под мак вирусов нет и не может быть :((( когда вот они вот они… Все больше и больше все чаще и чаще…((

Вы должны авторизоваться или зарегистрироваться для комментирования.

Нашли орфографическую ошибку в новости?

Выделите ее мышью и нажмите Ctrl+Enter.

Как установить аватар в комментариях?

Ответ вот здесь