Фальшивый инсталлятор Adobe Flash – новый троян для Mac OS X

10

flashback

Новая версия трояна (который компьютерные службы безопасности прозвали “Flashback.C” – эволюция “Flashback.A”), выдающего себя за установщик настоящего Flash Player, способна отключать обновление по умолчанию антивирусную защиту системы Mac OS X, потенциально оставляя ее открытой для установки других вредоносных программ без каких-либо предупреждений со стороны системы.

Как пишут специалисты по безопасности из F-Secure, новый “Flashback.C” потенциально может отключить автоматическое обновление компонентов встроенной защиты от вредоносных приложений Apple XProtect путем перезаписи содержимого бинарного файла XProtectUpdater, который проверяет наличие обновлений. Однако, похоже, активным новый троян пока не стал.

Как только вредоносная программа будет установлена и внешний дополнительный дистрибутив с сомнительных серверов будет доставлен, локальная система не сможет получить последнее обновление защиты и определить вредоносное ПО, и впоследствии может заразиться другими вирусами, которые пользователь установит, не получив предупреждения со стороны Mac OS X XProtect. Функция XProtect – сообщить пользователям о попытке установки известного системе вредоносного ПО, список которого составляет и ежедневно обновляет Apple, и хранится он в файле XProtectUpdater.

Как отмечают специалисты, отключение системы защиты – распространенная тактика, используемая троянами и прочей заразой, и встроенные программы определения вредоносного ПО являются «первой мишенью любой компьютерной платформы».

Обнаруженный в конце сентября троян “Flashback.A” выдает себя за оригинальный инсталлятор Adobe Flash, пытающийся обмануть пользователей Mac OS X и заставить их установить программу для доступа к сетевому Flash-контенту. Главным образом, троян нацелен на пользователей Mac OS X Lion, так как последняя операционная система Apple для десктопов идет без предустановленного Flash.

Новый “Flashback.C” аналогично маскируется под безобидный установщик Flash, отображает те же визуальные элементы в процессе инсталляции в попытке убедить пользователей, что они устанавливают подлинный Flash. После инсталляции “Flashback.C” вначале проверяет систему на наличие «Little Snitch» – брандмауэра, который проверяет весь исходящий трафик и может предупредить пользователя о соединении какой-либо программы с удаленным сервером. Если Little Snitch будет обнаружен, троян уничтожит сам себя.

Если же Little Snitch не будет найден, вредоносное ПО попытается установить соединение с неким удаленным китайским сервером, чтобы получить другие установочные файлы и конфигурации. F-Secure отмечают, что «китайский хост работает, но пока никакого вреда не нанес». Если (или когда) сайт станет активным, он доставит дистрибутив, который троян использует для отключения системы автоматического обновления — при помощи Safari или Firefox будет доставлен вредоносный код, через LSEnvironment, загружаемый при перезагрузке браузера.

В целях предотвращения возможного инфицирования трояном семейства“Flashback”, пользователям Mac рекомендуется получить свою копию Adobe Flash Player непосредственно с официального сайта Adobe и настроить опцию «Open ‘safe’ files after downloading» в браузере Apple Safari, чтобы избежать автоматического запуска файлов, загруженных из Интернета.

Пользователю также нужно быть очень внимательным и дважды думать при запросе пароля администратора системы в случаях, если он не понимает, для чего конкретно это нужно.

На случай, если заражение все-таки произошло, F-Secure предлагает свои инструкции для удаления трояна: просканировать всю систему, принять к сведению обнаруженные файлы, затем удалить запись:

flashbackC

Из:

/Applications/Safari.app/Contents/Info.plist

/Applications/Firefox.app/Contents/Info.plist

Удалить все обнаруженные файлы.

Кроме всего вышесказанного, Apple еще не выпустила фикс, который бы автоматически помечал новые версии трояна как вредоносные программы при попытке их установки в системы Mac. Но пока троян фактически не работает, и пользователям не стоит бояться заражения, если они не будут устанавливать обновление Adobe Flash из непонятного источника.

Опыт показывает, что многочисленные версии новых вирусов для Mac OS X основаны на том, что пользователи имеют возможность и часто соглашаются устанавливать ПО из любых источников, из-за этого пользователи Windows и Mac в последнее время часто сталкиваются с попытками заражения, не говоря о владельцах Android – устройств. Пользователи iOS в значительной степени защищены закрытостью и безопасностью App Store, а Apple Mac App Store стремится обеспечить безопасность владельцев настольных ПК и ноутбуков.

Тем не менее, плагины веб-браузера, такие как Adobe Flash и другие программы, которые подключаются к системам на низком уровне, не попадают под условия политики безопасности Apple, так как не проходят через App Store. Интересно, что у пользователей есть возможность установить приложение Flash Block из Mac App Store, которое стоит 99 центов и предлагает на время «убивать» активный Flash – контент для сохранения заряда батареи, или блокировать Flash целиком.

Источник: appleinsider.com

10 комментариев

  1. 0
    Максим

    Раз появляются ирусы под МакОС — значит оа становится популярной) Давай Apple, пни MSFT под дых)

  2. 0
    Евгений

    этот вирус написали с подачи Adobe, блин это ж я ясно как белый день — все «кинутся» ставить флеш с оф сайта
    думаю популярность не причем

  3. 0

    Ну и хрень !!! Я не пойму что то !!! Под яблоком же дебилов должно быть меньше и должны видеть что ставят и куда ставят!! Тут же ясный перец видно даже по скрину установщика что это не Flash pleer а подделка под него !!! огли бы хотя бы установщик подделать пограмотнее писаки хреновы :):):)

    • 0

      PiXEL, Под яблоком же дебилов должно быть меньше и должны видеть что ставят и куда ставят!!
      —————————
      наоборот, компьютерных дебилов должно быть больше! Т.к.всё легко и просто, всё для человека так сказать, да ещё и слух в сети гуляет что MacOS безопасен, не то что Windows => осторожность пропадает. Но если говорить о старшем поколении, то оно бы установило эту штуковину (на любой оси), даже если бы там в заголовке было написано: Trojan Flash Player:D

  4. 0
    Говорушкин Дмитрий

    Я всегда знал, что от флеша ничего хорошего ждать не приходится. 🙂 Не прямо, так косвенно насрет. 🙂

  5. 0

    Подобной записи не нашел, но с удивлением обнаружил, что Safari распознает JPEG 2000, что приятно удивило.

  6. 0
    Анонимусе

    Пора эпплу встраивать снитч в мак ось…

  7. 0

    пару месяцев назад еще здесь читал — http://forum.diagservice.ru/

  8. 0
    Дмитрий

    а я его сегодня ПОЙМАЛ!!!!
    еще задумался — схрена апдейтер на английском сегодня.
    а потом понял что что-то не так. и правда. попросил себя запустить. мда. закончились счастливые времена на маке 🙂

Авторизуйтесь Чтобы оставить комментарий