Ондрэй Хольцман Кампутары Mac падвяргаюцца нападам новых шкоднасных праграм, якія робяць скрыншоты без ведама карыстальніка, а потым загружаюць файлы на сумніўныя серверы. Вірус хаваецца пад дадаткам macs.app. Аднак на дадзены момант ён не вельмі распаўсюджаны.
Новы тып пагрозы для карыстальнікаў кампутараў Apple быў знойдзены на Mac аднаго з удзельнікаў Oslo Freedom Forum, міжнароднай канферэнцыі па правах чалавека, якая штогод арганізуецца ў Осла Фондам правоў чалавека.
Пасля ўсталёўкі macs.app праграма працуе ў фонавым рэжыме і робіць скрыншоты бясшумна. Кожны зроблены малюнак захоўваецца ў тэчцы Прыкладанне Mac у вашым хатнім каталогу, адкуль загружаюцца файлы securitytable.org a docsforum.inf. Ні адзін дамен недаступны.
[do action=”tip”]Праверце папку ў хатнім каталогу Прыкладанне Mac (гл. малюнак).[/do]
Macs.app можа працаваць на вашым Mac, таму што, у адрозненне ад іншых шкоднасных праграм, яму прызначаны працоўны ідэнтыфікатар распрацоўшчыка Apple, што азначае, што ён праходзіць міма абароны Gatekeeper. Ідэнтыфікацыйны нумар належыць нейкаму Раджэндэру Кумару, і Apple мае магчымасць замарозіць яго правы, што, верагодна, таксама перашкодзіць функцыянальнасці віруса. Так што можна чакаць хуткага ўмяшання каліфарнійскай кампаніі.
Гэта добра ведаць. Але навошта мне яго ўсталёўваць (гэта .app або ўсталявальны пакет)?
У цяперашні час F-secure даследуе шкоднаснае праграмнае забеспячэнне, каб лепш вызначыць яго паходжанне, спосабы ўстаноўкі і тое, як яно працуе.
Я не даведаўся, у якой менавіта форме ён спампоўваецца, але калі ён ёсць на вашым кампутары, ён запускаецца аўтаматычна пры запуску кампутара. Аднак я не бачу, ці трэба яго ўсталёўваць.
Лагічна, што карыстальнік павінен запусціць яго, пытанне толькі ў тым, ці з'яўляецца яно "запакаваным" з якім-небудзь дадаткам, легальным ці ўзламаным, ці прыходзіць электронны ліст накшталт "Фотографии аголеных , запусціце мяне зараз" і карыстальнік запускае яго.
Паколькі гэта выглядае прымітыўна (яго можна вельмі лёгка напісаць на AppleScript) і паколькі ён запісвае ў тэчку карыстальніка, яму нават не спатрэбіцца пароль адміністратара, але я проста мяркую па малюнку і інфармацыі ў артыкуле, можа быць інакш :)
Калі ён запускаецца пасля запуску, я б сказаў, што ён павінен завяршыць усталёўку (нават дэмана або самога прыкладання). Ва ўсякім разе, як піша DJManas, ён запісвае яго ў тэчку карыстальніка менавіта для таго, каб не было патрэбы ў паролі. Я не разумею, чаму ён піша гэта ў "MacApp", а не ў ".MacApp" - такім чынам ніхто, у каго не бачныя схаваныя файлы (так што 90% людзей), не заўважыць.
Большай праблемай я бачу тое, што нехта выкарыстаў уласны ідэнтыфікатар распрацоўшчыка, каб прайсці міма GateKeeper - тут Apple павінна вельмі хутка адрэагаваць і назаўжды забаніць гэтых людзей. Магчыма, я мог бачыць гэта ў якой-небудзь функцыі "паведаміць як спам/вірус", схаванай дзесьці глыбока, так што Apple павінна неадкладна пачаць з гэтым разбірацца кожны раз, калі яна атрымае больш за 1 такое апавяшчэнне аб дадатку.
Я прызнаю, што ў мяне няма афіцыйнага ідэнтыфікатара распрацоўніка, але я лічу, што дастаткова наладзіць электронную пошту, заплаціць за членства, нават калі гэта 900/- у год, і карыстальнік "жывы" і можа гуляць ( калі ён не змяшчае яго непасрэдна ў AppStore), што можа прынесці задавальненне, але я не ведаю дакладна, як гэта працуе, хто-небудзь папраўце мяне.
З іншага боку, у карыстальнікаў можа быць адключаны GateKeeper, таму што яны ўсталёўваюць рэчы з Інтэрнэту, і я прызнаю, што я таксама адключыў яго, таму што ён не дазваляе мне ўсталяваць праграму, якой я звычайна карыстаюся, я мяркую, што гэта быў OnyX тады (толькі што ўсталяваная версія 10.8), і ён не выявіў. Цікава, ці з'яўляюцца яны ўжо афіцыйнымі распрацоўшчыкамі, і я магу ўключыць гэта...
Я таксама адключыў яго для маёй жонкі, калі распрацаваў пару "прыкладанняў/скрыптоў/фішак", якімі карыстаемся толькі яна і я, і яна не дазваляла мне ўсталёўваць іх на яе OSX...
Я рэкамендую ўключыць Gatekeeper, і калі вы хочаце ўсталяваць непадпісанае прыкладанне, проста пстрыкніце правай кнопкай мышы пакет/прыкладанне і націсніце Адкрыць. У гэтым выпадку ёсць магчымасць абыйсці Брамнік. Я раблю гэта сам, і мне гэта здаецца больш бяспечным - я таксама магу ўсталёўваць непадпісаныя прыкладанні, але Gatekeeper сочыць за ўсім астатнім.
Дзякуй, я гэтага не ведаў