28.5.11

Обнаружен новый вирус для Mac OS

Главным майским событием в сфере угроз информационной безопасности специалисты считают массовое распространение ложного антивируса, наиболее известного как MacDefender. Если фальшивые антивирусы для Windows стали уже привычным явлением, то для Mac OS X такие вредоносные программы все в новинку, тем более в масштабе эпидемий. Для тех кто не знаком с системой Mac OS X в кратце это ближайший брат Linux назовем так; и практически система не нуждается в антивирусе только если разве у вас в домашней сети есть Windows и что бы не заразить славно известную ОС.
Apple, конечно же, готовятся нанести ядерный удар по вредоносному программному обеспечению Mac Defender в следующем обновлении Snow Leopard, да вот только, к огромному сожалению, разработчики вредоносного софта не стоят на месте, так что несмотря на все заверения, что Mac Defender - всего-лишь выдумки Билла Гейтса ... он все еще представляет реальную угрозу для вашего компьютера. Все дело в том, что, пожалуй, первое реальное вредоносное ПО для Мас не только РЕАЛЬНО, но и теперь представляет еще большую опасность, чем это было раньше.


Компания Intego, занимающаяся разработкой антивирусного ПО для Mac, написали сегодня в редакцию CultOfMaс письмо с целью распространения информации о новой версии Mac Defender, которая теперь называется Mac Guard. А знаете, почему стоит заострить особое внимание именно на этом вредоносном ПО? Все очень просто - данной программе абсолютно не требуется ввода пароля администратора, чтобы установить саму себя.


Сообщение о ликвидации 2 мая 2011 года Усамы бен Ладена тоже, разумеется, не осталось без внимания киберпреступников. Мошенники попытались воспользоваться повышенным интересом к этому событию, действуя проверенным методом: через спам-рассылки, в расчете на неосторожный «клик».
Впрочем, аналогично другим вариантам вируса Mac Defender, новую реинкарнацию вредоносного ПО Mac Guard достаточно легко избежать, если вы знаете, что именно ищете, и сразу же удалите его в том случае, если случайно заразитесь.
Однако теперь, после того как Mac Defender сделал новый шаг в деле заражения компьютеров пользователей без ввода пароля администратора, то это абсолютно точно приведет к намного большему количеству инфицированных людей. Да и вряд ли обновление безопасности от Apple выйдет достаточно скоро...
MacDefender, также известный как Mac Security и Mac Protector, является ложной антивирусной программой, созданной, чтобы запугивать людей, сообщая им о том, что их компьютер заражен вирусом, и что для его лечения им необходимо произвести оплату с помощью кредитной карты.

Люди заражаются ложными антивирусами при посещении некоторых веб-сайтов. Опасные сайты создаются с единственной целью – распространять вредоносные программы. Причем они оптимизированы под поисковые запросы, поэтому в результатах поиска они появляются в верхних строчках.

Подобно наживке, эти сайты используют картинки, связанные с популярными новостями. Так, например, один из таких сайтов был в верхней пятерке по запросу информации о Доминике Стросс-Кане, французском политике и директоре Международного валютного фонда, обвиненном в конце прошлой неделе в изнасиловании. Вредоносные сайты приспосабливаются и ежедневно изменяются, поэтому блокировать их не просто.
Насколько велико распространение вируса?

Несмотря на то, что распространение вируса пока нельзя назвать эпидемией, похоже, что на глаза он попадается чаще, чем любые другие вирусы для Mac в прошлом. По данным ZDNet.com, представитель техподдержки AppleCare заявил, что объем звонков в службу поддержки был в четыре-пять раз выше, чем обычно, и что большинство из звонков были связаны с вирусом. “Началось все с одного звонка в день две недели назад, теперь же через звонок. Все становится хуже. И быстро”, заявил анонимный источник.

Также издательство ZDNet опубликовало некий внутренний документ Apple с инструкцией для работников службы поддержки по поводу поведения при поступлении звонков о MacDefender. Инструкция советует работникам не подтверждать или отрицать установку вируса на компьютер звонящего, и не пытаться удалить его. В тоже время, сотрудник ZDNet обнаружил на discussions.apple.com более 200 отдельных веток форумов по теме, включая комментарии людей, которые уже поймали вирус.

По словам компании Intego, с ней связалась “масса” пользователей, обеспокоенных вирусом, и что она уже собрала десятки примеров кода. “Новости все ухудшили, заставив беспокоиться пользователей Mac, и они уверены, что предупреждение ложного антивируса является реальным”, заявил представитель Intego. “Это самоподдерживающийся процесс”.

Apple отказалась давать комментарии по вирусу.
Как он работает?

Вирус претерпел несколько изменений, поэтому в зависимости от его версии, его окна и сообщения могут различаться. Ранняя версия вируса представляла ложные окна Windows, но поздние версии перешли на Apple-подобный интерфейс.

Обычно, при клике по вредоносной картинке пользователь перенаправляется на сайт, где запускается JavaScript и автоматически скачивает программу. Всплывающие предупреждения заявляют об обнаружении на машине подозрительной активности, о том, что Apple Web Security обнаружил на машине вирус, и предлагают удалить его.

Клик по кнопке “Ok” вызывает появление подобия сканирования компьютера, затем пользователю сообщается о том, что его машина заражена, и клик по “Ok” вызывает подобие установщика Mac OS, который просит ввести пароль администратора к компьютеру.

Ввод пароля вызывает установку вируса и представление процесса, который выглядит как еще одно сканирование компьютера и выводит предупреждения о предположительных инфекциях. Чтобы очисться от инфекций, от пользователя требуется регистрация и информация о его кредитной карте.

В других версиях, всего лишь посещение веб-сайта вызывает скачивание на жесткий диск файла .zip с названием, вроде "MacDefender" или "MacSecurity" и с расширением .mpkg. Если компьютер пользователя настроен на автоматическое открытие “безопасных” файлов, то он увидит окно с предложением установки. Клик по кнопке продолжения “continue” вызывает появление другого окна, просящего ввести пароль администратора и устанавливающего программу. Далее пользователь видит окно с сообщением об инфицировании его машины, предлагающее опционально очистить его за регистрацию и предоставление информации о кредитной карте.


После установки, в меню Mac OS X появляется новый элемент. Иконка похожа на небольшой оранжевый щит, который при “обнаружении” вирусов становится красным и мигающим. Если пользователь отказывается регистрироваться и предоставлять информацию о своей кредитной карте, вирус начинает открывать в его веб-браузере порно-странички, пытаясь вынудить его заплатить.

Вирус будет загружаться при каждой загрузке Mac, до его удаления. Также вирус не устанавливает иконку в док, поэтому его не просто закрыть. До удаления вируса, пользователям приходится завершать его процесс через монитор активности Activity Monitor.
Работу вируса можно увидеть ниже:



Что я могу сделать для собственной защиты?

Не посещайте непроверенные сайты, особенно те, что делают ставку на горячие новостные темы.

Не устанавливайте программ, если только они не исходят из проверенных источников.

Не выдавайте свой пароль администратора, если только вы не намеренно устанавливаете программу из проверенного источника.

Рассмотрите возможность создания двух аккаунтов – администратора и обычного аккаунта для обычного серфинга веб.

Если странным образом вы видите окно установщика, блокируйте его. Закрывайте странные предупреждения и всплывающие окна (особенно те, где опции “назад” или “отмена” не выделены), кликая по красной точке в верхнем углу.

Переместите все подозрительные файлы, которые, как вам кажется, связаны с MacDefender из папки скачанного в корзину. В настройках Safari снимите галочку с опции “открытия безопасных файлов после скачивания”.

Рассмотрите возможность использовать таких бесплатных антивирусов, как Intego и ClamX AV.

Избегайте предоставления информации о своей кредитной карте. Если вы предоставили информацию о своей карте, то незамедлительно позвоните в свое финансовое учреждение и заблокируйте ее.

Описание удаления вируса можно найти здесь (на англ.)
Это означает, что Mac небезопасен?

Нет. Это означает, что преступники, которые обычно ориентировались на машины с Windows, теперь ориентируются и на Mac. По словам блоггера Браяна Крибса (Brian Krebs), примерно во время появления первого MacDefender, на криминальных андеграундных сайтах появился новый криминальный набор, который упрощает написание ботнет-вирусов для Mac OSX.

На днях же исследователь безопасности Джошуа Лонг (Joshua Long) напал в своем блог-посте на Mac App Store, заявив, что магазин подвергает своих пользователей риску. Блоггер нашел в магазине устаревшие программы, как минимум одна из которых содержит в себе критическую уязвимость безопасности.

Но другие люди, вроде Джона Грубера (John Gruber), настаивают, что сообщения о том, что безопасность Mac получила удар, являются лишь обманом. Представители издательства ArsTechnica.com пообщались с рядом специалистов поддержки Mac, по словам которых, они не заметили ощутимых действий со стороны Apple. Также один из работников службы поддержки Apple Store заявил, что до этого месяца ему никогда раньше не приходилось удалять с Mac вирус или вредоносную программу.

По словам экспертов, Mac-компьютеры по своей сути не являются гораздо более защищенными, чем Windows. Об этом в частности заявил Чарли Миллер (Charlie Miller), который несколько последних лет успешно атаковал Safari на Mac в трех конкурсах Pwn2Own. В случае MacDefender, вирус требует действий от пользователя, и не использует уязвимости в Mac OS. Кроме того, компьютеры Mac имеют встроенный антивирус, хотя, он, похоже, не защищает от MacDefender.




Обсудить на форуме

Комментариев нет:

Отправить комментарий

Написать комментарий