Dr.Web wykrył kolejny złośliwy program na OS X
“Na Maci nie ma wirusów”. To stwierdzenie, kiedyś prawdziwe, dzisiaj powoli staje się legendą. Wraz z rosnącą popularnością komputerów z nadgryzionym jabłkiem, wzrosło ich zainteresowanie przez twórców złośliwego oprogramowania. Kolejny przykład takiego programu odkrył Dr.Web, a został on ukryty w instalatorze przeróżnych aplikacji.
Za informacją prasową:
Niechciana aplikacja Adware.Mac.InstallCore.1 jest instalatorem zawierającym trzy główne foldery (bin, MacOS i Resources). Pierwszy folder zawiera aplikację wykrywaną przez Antywirusa Dr.Web jako Tool.Mac.ExtInstaller. Oferuje ona możliwość instalowania wtyczek do przeglądarek, zmienia też stronę domową lub domyślną usługę wyszukiwania. Folder MacOS zawiera plik binarny instalatora; folder Resources zawiera główną część SDK (Software Development Kit) w formie skryptów JavaScript. Te skrypty mogą być (opcjonalnie) zaszyfrowane z użyciem algorytmu AES.
W szczególności, wśród plików SDK znajduje się plik konfiguracyjny config.js posiadający specjalną sekcję z informacjami dotyczącymi tego, jakie aplikacje powinny być pobrane. Ta sekcja posiada informacje o tym, ile aplikacji musi zostać zainstalowanych w systemie, obecność których programów i maszyn wirtualnych chroni przed instalacją dodatkowych programów i listę komponentów do zainstalowania. Plik konfiguracyjny zawarty w aplikacji nie jest jedynymrome plikiem wykorzystywanym przez program do jego działania. Inny plik jest otrzymywany ze zdalnego serwera, którego adres jest określony w lokalnym pliku konfiguracyjnym. Dane pobrane z sieci są zaszyfrowane z użyciem algorytmu XOR i skompresowane z wykorzystaniem GZIP. Zaszyfrowany plik zawiera różne dane i parametry językowe wymagane do poprawnego wyświetlania elementów interfejsu programu.
Plik scripts.js oferuje możliwość sprawdzania komputera pod kątem obecności maszyn wirtualnych i kilku już zainstalowanych aplikacji. Malware nie będzie domagać się od użytkownika instalacji dodatkowych programów, jeśli uruchomi się w środowisku VirtualBox, VMware Fusion czy Parallels lub nawet jeśli na “Maku” zostanie wykryty pakiet środowiska programistycznego XCode lub aplikacja Charles, służąca do debugowania programów. Istnieje też kilka innych przypadków, gdy niechciana aplikacja nie będzie prosić użytkownika o instalację dodatkowych programów. Mianowicie, jeśli w systemie zostanie wykryta jedna z następujących aplikacji antywirusowych: AVG, Avast, BitDefender, Comodo, ESET, Kaspersky, Sophos, Symantec, Intego, ClamAV lub F-Secure. Dodatkowo czarna lista Adware.Mac.InstallCore.1 zawiera kilka innych aplikacji.
Czy jest to powód do obawy? Raczej nie. W przypadku Maców każde oprogramowanie musi być zainstalowane przez użytkownika, także to złośliwe. Podobnie jest w tym przypadku. Adware.Mac.InstallCore.1 (urodziwa nazwa) instalujemy samodzielnie podczas instalacji jednej z poniższych aplikacji:
– Yahoo Search
– MacKeeper (Program.Unwanted.MacKeeper)
– ZipCloud
– WalletBee
– MacBooster 2
– PremierOpinion (Mac.BackDoor.OpinionSpy)
– RealCloud
– MaxSecure
– iBoostUp
– ElmediaPlayer
Zamiast panikować dużo lepszym rozwiązaniem jest mieć dookoła głowy, korzystać z komputera z rozwagą, a po oprogramowanie sięgać do App Store, gdzie nie doświadczymy takich nieprzyjemności.
Źródło: Dr. Web, DeviantArt (grafika tytułowa)
Komentarze: 4
Niestety nie wszystko jest w App Store np. nie ma tam CleanMyMac (jest za to kilka innych apek od MacPaw). Wiele aplikacji jest tez tańszych poza App Store a producenci niekiedy dają klucze aktywacyjne w promocji. Naturalnie zawsze warto w pierwszej kolejności szukać aplikacji w App Store, niemniej w odróżnieniu od iOS nie wszystkie aplikacje dla OS X są w oficjalnym sklepie, choć docelowym kierunkiem jest jednak pobieranie wyłącznie z App Store tak, jak w iOS.
Sytuacja wirusowa na Macu jest lepsza, niż w Windowsie, ale oczywiście także w OS X oraz iOS trzeba uważać i także na macu zainstalować pakiet antywirusowy (podkreślam, że wartość ma cały pakiet internet security, sam antywirus nie wystarczy). Przy okazji linkuję do newsa z MyApple o luce w Safari pozwalającej podstawić adres url inny, niż rzeczywisty http://mackozer.myapple.pl/posts/8923-luka-w-bezpieczenstwie-w-safari-dla-mac. Do czasu załatania błędu trzeba więc być czujnym.
Wystarczy kupić CleanMyMac itp. u źródła a nie na torrentach i problem z głowy (bez użycia antywirusa).
” Zamiast panikować dużo lepszym rozwiązaniem jest mieć dookoła głowy, korzystać z komputera z rozwagą, a po oprogramowanie sięgać do App Store,..” – chyba w tym końcowym zdaniu ‘uciekło’ jedno słowo :D
Czy żeby zainstalować ten złośliwy program trzeba podać hasło administratora?