Новейшее вредоносное ПО для операционной системы OS X, которое было обнаружено в конце сентября, маскируется под инсталлятор Adobe Flash Player.

Этот “троян” представляет минимальную угрозу для вашего Mac. Он устанавливает в систему специальные payload-файлы, которые запускаются во время работы определенного приложения. Затем, вредоносное ПО пытается настроить ОС так, что бы эти файлы связывались с удаленным сервером и передавали вашу личную информацию.

Первая версия “трояна” устанавливала payload-файлы в домашние каталоги пользователей, вторая версия, которая была обнаружена в начале этого месяца, стала размещать эти файлы в пакетах прикладных программ, таких как Safari и Firefox. Вчера, F-Secure Team обнаружили третью версию данного “трояна”, OSX / Flashback.C, которая использует новую схему, чтобы закрепиться в вашей системе.

Последняя версия, по всей видимости, была незначительно изменена. Сейчас “троян” нацелен на XProtect. Flashback отключает его путем блокировки сканера и обновления, кроме того, “троян” размещает в нем свои payload-файлы.

Инсталлятор "трояна" Flashback

Инсталлятор "трояна" Flashback

Официальный инсталлятор Adobe Flash Player

Официальный инсталлятор Adobe Flash Player

Тем не менее, новая версия Flashback по прежнему нуждается в пользователе, то есть для того, чтобы “троян” закрепился в вашей системе, вы должны скачать ложный инсталлятор Adobe Flash Player, запустить его и ввести свой логин и пароль. Поэтому, несмотря на новую схему работы, данное вредоносное ПО не представляет большей угрозы, чем его предыдущие версии.

Кроме того, такие “трояны” как Flashback обычно распространяются через поддельные веб-сайты и ложные файлобменники. Таким образом, самый простой способ избежать инфицирования это взять в привычку проверять все файлы, которые вы скачали из интернета, не зависимо от того, скачали вы их с сайта разработчиков или другого авторитетного портала.

Это почти все, что требуется для обеспечения безопасности вашей операционной системы.

Как и предыдущие версии, Flashback C не может работать, если у вас установлена брандмауэрная защита Little Snitch, которая отслеживает весь исходящий трафик и предупреждает, когда какая-нибудь программа пытается соединиться с удаленным сервером. Если установщик вредоносного ПО обнаруживает в системе Little Snitch, он прекращает свою работу, так как этот брандмауэр не позволят осуществлять “трояну” несанкционированные соединения.

F-Secure были первыми, кто обнаружил новую версию “трояна” и обновил свою антишпионскую утилиту. Вскоре и другие поставщики антивирусных программ выпустят обновления для своего программного обеспечения. Как ни странно, на момент написания статьи Apple обновили XProtect, дав ему возможность обнаруживать только первую версию Flashback, которая появилась в конце сентября. Тем не менее, XProtect по-прежнему беззащитен перед второй и третьей версией “трояна”.

Опять же, это вредоносное ПО не затронет большинство Mac, но если вы подозреваете, что ваш компьютер был инфицирован, то можете провести элементарную проверку вашей системы, выполнив в Терминале две следующие команды:

defaults read /Applications/Safari.app/Contents/Info.plist LSEnvironment

default read /Applications/Firefox.app/Contents/Info.plist LSEnvironment

Эти команды просканируют свойства ваших браузеров и проверят их на наличие изменений, направленных на запуск других приложений. Если в процессе выполнения этих команд вы увидите строчку “DYLD_INSERT_LIBRARIES” со ссылкой на какой-либо файл, то ваша система инфицирована. Если же вы увидите текст “The domain/default pair… does not exist”, то ваш Mac не заражен.

Если после выполнения команд в окне Терминала будут эти сточки, то ваша система не заражена

В некоторых случаях, самый простой способ удалить Flashback – переустановить программу, в которой находятся payload-файлы. Тот же Safari можно заново скачать с веб-сайта Apple, а Firefox – со страницы Mozilla.

Tagged with →  

Добавить комментарий

Ваш e-mail не будет опубликован.

 

Подробнее:
Гостевая учетка

Мужики как сделать так чтобы этого гостя вообще небыло блеа? в настройках вроде гостевая учетка отключена… В интернетах не нашел

Закрыть