Flashback Trojan это последняя версия вредоносной программы, нацеленной на операционную систему Apple. Вот небольшое руководство о том, как определить, что он у вас есть, и как с ним бороться.

Платформа Mac уже давно позиционируется как самая безопасная ОС среди своих конкурентов. Но по мере того, как популярность OS X растет, все больше хакеров обращают на нее свое внимание.

Лучшим примером этой тенденции является Flashback Trojan, вредоносная программа, которая маскируется под плагин для браузера и крадет личную информацию пользователей. Вчера российская антивирусная компания Dr. Web заявила, что более 600.000 Mac по всему миру заражены Flashback.

Вот краткий FAQ по Flashback Trojan, содержащий информацию о том, как определить присутствие этой программы в вашей системе, а также список шагов, необходимых для ее устранения.

Что такое Flashback?

Flashback является одной из форм вредоносного ПО, специализирующегося на краже паролей и личной информации пользователей через веб-браузер и другие приложения, например Skype. Пользователь, как правило, может спутать троян с официальным плагином для браузера при посещение вредоносного сайта. В этот момент программа устанавливает свой код, предназначенный для сбора личных данных, с их последующей передачей на удаленные сервера. Последняя версия Flashback может устанавливаться самостоятельно, без запроса разрешения у пользователя.

Когда появился Flashback?

Впервые Flashback был обнаружен в конце сентября прошлого года, когда он маскировался под инсталлятор Adobe Flash, широко используемого плагина для просмотра видео и интерактивных приложений, который Apple не устанавливают изначально на свои компьютеры. Позже ПО эволюционировало, чтобы использовать Java Runtime на OS X, который устанавливают пользователи для просмотра веб-контента. Более продвинутая версия Flashback установляется в фоновом режиме и не требует ввода пароля.

Как он заразил столько компьютеров?

Ответ прост – программа была разработка именно с этой целью. В своем первоначальном воплощении, Flashback был очень похож на инсталлятор Adobe Flash. Калифорнийская компания более года не устанавливала этот плагин на свои компьютеры, что вынудило пользователей Mac делать это вручную, чтобы просматривать полярные веб сайты, использующие Flash. Когда Apple это исправили, хакерам пришлось искать другую лазейку. В своей Java-версии, вредоносное ПО может устанавливаться самостоятельно, без ведома пользователя.

Но и это не помогло хакерам, так как Apple, вместо использования официальной версии Java, разработали собственную. Тем не менее, Flashback начал использовать дыру в системе безопасности, которую Oracle пропатчили в феврале. Apple, в свою очередь, выпустили фикс на сованную версию Java только на прошлой неделе.

Что предприняли Apple по этому поводу?

Калифорнийская компания имеет собственный сканер вредоносных программ – XProtect, который встроен в OS X. После появления Flashback, Apple обновили свою систему безопасности в соответствии с несколькими версиями трояна.

В последнее время вредоносное ПО смогло обойти XProtect, передавая свои файлы с помощью Java. 3 апреля производитель iPhone выпустили обновление, которое закрыло эту лазейку.

Следует отметить, что исправление Java доступно только на операционной системе OS X 10.6.8 и выше, так что пользователи OS X 10.5 все еще находятся в опасности. Компания прекратила обновлять программное обеспечение для этой версии ОС.

Как узнать, заражен ли мой компьютер?

На данный момент самый простой способ определить, инфицирован ли ваш Mac, это выполнить несколько команд в терминале (Terminal). Данное ПО вы найдете в каталоге Utilities, расположенной в папке Applications. Если вам лень искать его вручную, воспользуйтесь поисковой системой Spotlight.

Запустив терминал, просто скопируйте в него строки кода, указанные ниже. Команда работает автоматически:

defaults read /Applications/Safari.app/Contents/Info LSEnvironment

defaults read /Applications/Firefox.app/Contents/Info LSEnvironment

defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

Если ваша система чиста, то команда выдаст ответ, что пары domain/default “не существуют”. В обратном случае, вы получите путь, указывающий расположение вредоносного ПО на вашем компьютере.

Ой, у меня обнаружен Flashback. Как мне его удалить?

Тофер Кесслер из CNET поделился руководством о том, как полностью удалить трояна из системы (http://reviews.cnet.com/8301-13727_7-57410096-263/how-to-remove-the-flashback-malware-from-os-x/?tag=mncol;txt). Этот процесс тоже требует запуска терминала и выполнения вышеуказанных команд, отслеживающих местонахождение инфицированных файлов. Затем вам необходимо удалить их вручную.

Компания F-Secure, специализирующаяся на обеспечение безопасности операционных систем, также опубликовала аналогичное руководство по удалению Flashback (http://www.f-secure.com/v-descs/trojan-downloader_osx_flashback_k.shtml). В ближайшем будущем, в Mac появится специальный инструмент, позволяющий быстро удалить вирусы и вредоносные программы.

Теперь мой компьютер в безопасности?

Если бы кратким, то нет. Авторы Flashback уже продемонстрировали свою склонность к изменению вредоносного ПО с целью поиска новых дыр в системе безопасности.

В данной ситуации главным совет заключается в следующем – тщательно проверяйте любую программу, скаченную из Интернета. Это подразумевает как различные файлобменники и торренты, так и официальные сайты производителей ПО. Кроме того, не забывайте проверять свою систему на обновления, особенно это касается антивирусов и сканеров. Если вы хотите защитить себя полностью, то вам придется отказаться от Java и других плагинов, которые не относятся к программному обеспечению Apple.

 

Tagged with →  

2 Responses to Flashback для Mac: Что это такое и как от него избавиться (FAQ)

  1. Анатолий:

    Статья интересная. Но эта проблема у меня появилась на iPad3. При попытке входа на свой личный блог появляется требование установить Adobe flash plaer, а далее СМС. В другом случае требование обновить opera по той же схеме. Хотя Opera установлена с официального сайта. Java не устанавливалась. Айпад 3 приобретен неделю назад.
    Спасибо

Добавить комментарий

Ваш e-mail не будет опубликован.

 

Подробнее:
Не должен ли сервис мне выдать временный ноут на период гарантийного ремонта моего?

Привет товарищи. Тут недавно накрылся мой трехмесячный "макбук про" привезенный из гермашки. Я его с успехом отнес в авторизованный сервис центр (ДС–2). И там же меня обрадовали сроком ремонта — в среднем полтора месяца. В связи с чем у меня вопрос —...

Закрыть