На этот раз все серьёзно.
Вроде бы непробиваемая защита OS X никогда не встречалась с серьезными вирусами из-за усиленных мер безопасности ОС, но оказалось, что это не так.
В сети всплыл новый опасный вирус для всех маков под названием OSX/Eleanor-A. Он скрывается внутри небезызвестной программы для конвертации файлов EasyDoc Converter, располагающейся на достойных доверия ресурсах, но не проверенной Apple и без цифровой подписи.
Как работает вирус
Троян работает в фоновом режиме, создавая скрытую папку. После того, как пользователь обнаружил вредителя на своём компьютере и удалил его, вирус переходит к следующему этапу. Раскидав своё содержимое под видом общедоступных инструментов, троян обрабатывает системные утилиты и преобразуется в конфигурацию OS X LaunchAgents. Программа работает в скрытом режиме, так что пользователь не станет обращать на неё внимания.
После небольшой «эволюции» троян запускает сразу же три протокола:
1. Подключает «мак» к анонимной сети Tor
2. Устанавливает связь с криптографическим сервером SSH
3. Запускает некий PHP-скрипт
Эти 3 подготовительных этапа в конечном счёте позволяют любому желающему получить полный доступ к ноутбуку/компьютеру.
Какие последствия
Злоумышленник может получить доступ к камере iSight, что позволит ему наблюдать за вами в Live-режиме. Кроме того, наблюдателей может быть много.
Утилита Netcat перехватывает данные с компьютера владельца, а компонент Wacaw захватывает изображение с веб-камеры. После этого происходит обработка через PHP-скрипт и злоумышленник получает необходимые ему изображения.
Как лечить и что вообще делать
Сотрудники компании Bitdefender считают, что невозможно отследить адресата, которому поступит информация с ноутбука. Поэтому самым лучшим способом будет включить на «маке» режим доверенности «только из App Store и утверждённым разработчикам». На данный момент это единственный способ избежать попадания вируса на компьютер. [CNews]
16 комментариев