Нова версія трояна для Mac OS X під виглядом установника Adobe Flash Player
З’явилася інформація про нову версію трояна для Mac OS, який маскується під установник Adobe Flash Player. Цей троян вимикає оновлення антивірусного захисту Mac OS, роблячи систему вразливою для інших шкідливих програм, оскільки захист не буде сповіщати користувача про загрози під час установки подібних програм.
Механізм роботи трояна Flashback.C
Відповідно до інформації від F-Secure, новий троян Flashback.C може вимикати автоматичне оновлення вбудованої в Mac OS X програми XProtect, змінюючи ділянки коду модуля XProtectUpdater, який відповідає за перевірку наявності оновлень.
Якщо система заражена трояном, вона не зможе отримувати останні оновлення, що призводить до того, що під час установки нових шкідливих програм XProtect не зможе попередити користувача про загрозу. Вимкнення засобів захисту — це поширена тактика, яку використовують творці шкідливого ПЗ, а антивірусні програми часто стають першою метою для атаки.
Особливості поширення та способи захисту
Троян Flashback.A, виявлений у вересні, маскується під установник Flash. Меню установки виглядає так само, як і в оригінальному установнику. Однією з причин широкого поширення цього трояна є те, що остання версія Mac OS X Lion не має попередньо встановленого Flash.
Flashback.C працює аналогічним чином. Після установки троян перевіряє систему на наявність запущеного файрволу Little Snitch. Якщо цей додаток запущений, то троян автоматично видаляє себе. У протилежному випадку, Flashback намагається підключитися до віддаленого хосту в Китаї для завантаження інших установчих файлів і конфігураційних даних. Проте на даний момент хост не відповідає, не надсилаючи жодних даних.
Рекомендації щодо захисту від шкідливого ПЗ
Для захисту від можливої загрози, Apple та F-Secure рекомендують користувачам Mac завантажувати Flash тільки через офіційний сайт Adobe. Додатково варто вимкнути в браузері Safari опцію автоматичного запуску файлів після їх завантаження. Корисним буде також утримання від введення пароля до вашого акаунта, якщо ви не впевнені у необхідності цього.
Дії у разі зараження системи трояном
Якщо троян все ж потрапив у вашу систему, F-Secure пропонують наступні дії:
- Просканувати всю систему на наявність шкідливих програм.
- Видалити заражену запис з файлу
plist.
Місця для видалення заражених файлів
Заражені файли необхідно видалити з наступних місць:
- /Applications/Safari.app/Contents/Info.plist
- /Applications/Firefox.app/Contents/Info.plist
Після цього видаліть всі знайдені заражені файли під час сканування.
Складнощі створення захисту від шкідливих програм
Захист від шкідливих програм завжди стикається з проблемою, коли самі користувачі можуть встановити шкідливу програму чи компонент з ненадійних джерел. Це стосується не тільки користувачів Windows та Mac, а й останнім часом — Android. Користувачі iOS захищені від подібних загроз завдяки механізмам захисту App Store, а офіційний магазин для Mac надає аналогічний рівень безпеки для настільних комп’ютерів і ноутбуків.
Залишається проблема, оскільки існує безліч розширень для браузерів та іншого стороннього ПЗ, яке не можна отримати через офіційні магазини програм.