Записки маковода: что нужно знать о вирусах для Mac

Автор: , 18 апреля 2012, 00:30

Иллюстрация: joyoftech.com

На прошлой неделе в буржуйских интернетах волной прокатились сообщения о первом серьезном вирусе для Mac OS X. Так называемый вирус Flashback заразил более полумиллиона Маков по всему миру. Паника поднялась из-за того, что до этого подобных прецедентов просто не было. Утверждение, будто бы для Mac вирусов нет, кануло в прошлое. Цель этой заметки отделить семена от плевел и разобраться с тем, что является в истории с вирусами для Маков правдой, а что — выдумками.

Записки маковода: что нужно знать о вирусах для Mac
Иллюстрация: joyoftech.com

На прошлой неделе в буржуйских интернетах волной прокатились сообщения о первом серьезном вирусе для Mac OS X. Так называемый вирус Flashback заразил более полумиллиона Маков по всему миру. Паника поднялась из-за того, что до этого подобных прецедентов просто не было. Утверждение, будто бы для Mac вирусов нет, кануло в прошлое. Цель этой заметки отделить семена от плевел и разобраться с тем, что является в истории с вирусами для Маков правдой, а что — выдумками.

Что из себя представляет Flashback

Так называемый Flashback Trojan (Flashback.K), который использует уязвимости CVE-2012-0507 и CVE-2011-3544в фреймворке Java, является вредоносной программой, собирающей данные о пользователе и отправляющей их на удаленный сервер. Данный вирус особенно опасен тем, что использует для поражения целевого компьютера так называемый метод теневой загрузки. Это значит то, что для проникновения в систему он использует уязвимость в операционной системе и не требует каких-то действий со стороны пользователя. Все известные вредоносные программы для Mac OS X до этого требовали установки для того, чтобы перехватить пароль администратора (зачем это нужно, я расскажу ниже).

Как работает Falshback

Во время посещения сайта, на котором размещен вирус, он попробует себя загрузить на ваш компьютер. Для того, чтобы эта попытка была успешной, необходимо выполнение двух условий: на Маке должна быть установлена версия Java с указанной уязвимостью и, кроме этого, в Safari должен быть разрешен запуск Java апплетов. Если эти условия выполнены, программа загрузит свой вредоносный код на ваш компьютер. При входе на «инфицированный» сайт, проверяется User Agent компьютера пользователя и, если вызов сделан из под Mac OS X, то начинается загрузка Java апплета, а пользователь компьютера, на который совершается атака, видит в браузере сообщение «Loading.... Please wait…». Апплет rhlib.jar загружает в папку /tmp/ файл .sysenterxx, выставляет ему необходимые права и запускает его выполнение. Запущенное приложение проверяет в системе наличие программ Xcode и LittleSnitch. Если их обнаружить не удалось, то происходит попытка загрузки тела вируса BackDoor.Flashback.26. В противном случае, загрузчик удаляет сам себя. После загрузки Flashback запустит программу Software Update и попросит ввести пароль администратора с целью его перехвата. После того, как он получит пароль, компьютер окажется под его полным управлением. Как правило, после данного действия, он будет внедрен в Safari и начнет наблюдение за вашей активностью в браузере, сбор ваших данных (пароли, посещаемые сайты, история поиска, номера кредитных карт и т. д.) и их передачу на удаленный сервер.

А как обстоят дела у меня?

За остаток прошлой недели и на выходных было опубликовано великое множество разнообразных способов выявления и удаления вируса. Не буду растекаться мыслью по древу и приведу перечень известных способов, а вы выберете тот, который вам больше по вкусу.

  • Гиковcкий. Нащупать и убить гадину руками.
  • Нудный. Зайти сюда, ввести UUID своего Мака и следовать инструкциям.
  • Ленивый. Скачать эту, эту или эту программу для автоматического обнаружения и удаления вируса.
  • Православный. Обновление от Apple, которое удалит вредоносную программу самостоятельно.

Кто виноват?

Как ни прискорбно это признавать, но в данной ситуации нафакапила Apple. Дело в том, что уязвимость CVE-2011-3544, которой воспользовались злоумышленники, был ликвидирована Oracleеще в феврале. А Apple выпустила обновление для Mac OS X спустя два месяца.

Как дальше жить?

Также как жили до этого. Однако стоит помнить, что в этом мире о нас не позаботиться никто лучше нас самих. Поэтому, следует быть осторожным и внимательней относиться к сайтам, которые мы посещаем и к контенту, который загружаем на свой компьютер. Чем чистоплотнее мы будем в интернете, тем меньше вероятность подхватить какую-то заразу.

Как обезопасить себя

Для того, чтобы чувствовать себя в безопасности следует знать как работает Mac OS X. Понимание принципов работы операционной системы, в которой вы работаете, позволит адекватно оценивать потенциальную угрозу, исходящую от вредоносных программ, которые будут пытаться получить доступ к вашим данным или захватить управление компьютером и действовать сообразно ее масштабам. Итак, пару слов о том, как устроена Mac OS X. Это POSIX - совместимая операционная система основой которой является Darwin. Её ядром является XNU (рекурсивный акроним от «Xnu is Not Unix» — «Xnu — не Юникс»), в котором используется ядро Machи стандартные сервисы BSD. Как и в любой другой UNIX-подобной операционной системе (также, как и в Linux подобных ОС или FreeBSD) в Mac OS X присутствуют пользователи и группы. Каждый пользователь обладает определенным набором прав и полномочий. Кроме того, в системе присутствует некий «супер пользователь», который имеет номер учетной записи 0 и (обычно) имя root. Он может делать всё, что угодно, потому для него права доступа не проверяются. По умолчанию, когда вы достаете Mac из коробки и включаете его первый раз, Mac OS X предлагает вам создать свою учетную запись и присваивает ей права администратора, т. е. наделяет вашу учетную запись правами суперпользователя. Кроме того, в Mac OS X используется так называемый принцип наследования. Это значит, что любая программа, запущенная от вашего имени наследует права и полномочия вашей учетной записи. И если вы — суперпользователь, то и программа, запущенная под вашей учетной записью будет обладать доступами и правами суперпользователя. Именно поэтому, вредоносные программы, в частности Flashback, стараются получить пароль от вашего аккаунта для того, чтобы запускать свои процессы и совершать действия со сверх полномочиями. Поэтому, первая мера предосторожности — обеспечение сохранности пароля от своей учетной записи. Когда появляется окно с просьбой ввести свой пароль, не поленитесь и посмотрите, какая именно программа его требует и для чего ей это нужно. Эту информацию можно получить, нажав на треугольник внизу формы ввода пароля. Далее. При установке программ, которые использует установщик, будьте внимательны. И если название программы

Записки маковода: что нужно знать о вирусах для Mac-2

показалось вам подозрительным, либо же установщик запустился во время посещения подозрительного сайта, поинтересуйтесь, что и куда именно он собирается устанавливать. Как это сделать,вы сможете узнать здесь. Подавляющее большинство программ записывают свои файлы в папку /Applications/. Если открывшейся список пуст или путь указан к каким-то системным папкам, стоит либо отказаться от установки подозрительного ПО или побольше узнать о нем на сайте производителя. Также, обращайте внимание на то, подписано ли устанавливаемое ПО сертификатом и действителен

Записки маковода: что нужно знать о вирусах для Mac-3

ли он. Также, злоумышленники активно эксплуатируют уязвимости в самой системе или в компонентах, которые она использует (например Java или Flash). Поэтому, устанавливайте последние обновления, которые выпускает Apple или откажитесь вовсе от использования этих компонентов. Например, для просмотра Flash содержимого можно использовать Goolge Chrome, а автоматический запуск

Записки маковода: что нужно знать о вирусах для Mac-4

Java отключить. Если есть возможность, загружайте приложения из Mac App Store. Apple сама следит за качеством программ в своем магазине и внедрение вредоносного кода в систему посредством таких приложений ничтожно мала. Кстати, почти все известные вредоносные приложения для Mac OS X «боятся» Xcode. Поэтому настоятельно рекомендую его загрузить. Если все вышеперечисленное не позволяет вам спокойно спать по ночам, воспользуйтесь одним из существующих антивирусов для Mac: Dr.Web для Mac OS X, Антивирус Касперского 2011 для Mac, VirusBarrier X6 и ClamXav 2.

Что нас ждет

Уверен, что следует ожидать появления новых угроз, способы проникновения которых, на атакуемые компьютеры, будут становиться все более и более изощренными. Это ожидаемо на фоне растущего интереса потребителей и корпоративного сегмента к платформе Mac. Однако, Apple постоянно работает над улучшением безопасности своих продуктов. Одним из существенных способов повышения безопасности в будущих версиях OS X станет технология Gatekeeper. Она позволяет ограничить источники, из которых пользователем может быть установлено программное обеспечение на компьютер. Также, существенным шагами на пути повышением безопасности стало внедрение технологии Address space layout randomization (ASLR), так называемой «песочницы» и технологии DEP. Все это существенно сократит вероятность поражения вашего компьютера вирусами и усложнит жизнь разработчикам вредоносного ПО. В заключение хотелось бы отметить, что, к нашему счастью, сорок лет назад, разработчики системы Unics, потомком которой является OS X, решили отдать управление суперпользователем в руки людей (привет Windows!). Это существенно повышает наши шансы на победу в борьбе с вирусами и вредоносным ПО. Потому что наш опыт, умение принимать взвешенные решения и живой ум — это более эффективные средства защиты, чем разнообразные технические ухищрения. В конце концов, как говорил Остап Бендер «Спасение утопающих дело рук самих утопающих». Будьте бдительны! Автор — маковод со стажем, руководитель сервисного центра computersart.com.ua

Сергей Макаренко на Google+

Подписывайтесь на наш нескучный канал в Telegram, чтобы ничего не пропустить.

Поделиться

Ваш комментарий
30 комментариев
Gagarinace старожил (440 комментариев)
18 апреля 2012 г. 3:00:19 #

как только яблочная ось станет популярной, так начнут вирусы писать, игры и просее, а пока - ткни пальчиком, и проведи полосочку вот всё назначение айоси

Ответить
Gagarinace
0
deleteme гаджетоман (74 комментария)
18 апреля 2012 г. 9:48:40 #

Ты про айос или макос?

Ответить
deleteme
0
jin гагаджетоман (1163 комментария)
18 апреля 2012 г. 7:56:21 #

но в данной ситуации нафакапила Apple. Дело в том, что уязвимость CVE-2011-3544, которой воспользовались злоумышленники, был ликвидирована Oracle еще в феврале.

Apple не може помилятись! При ЮщенкуСтіві такого не було!

Автор все правильно сказав, не можна ставити програми від Adobe та Oracle, більше зло, аніж Java і Flash — лише продукти від Microsoft. Ніколи і ні за яких обставин не ставте ніяких програм нізвідки окрім AppStrote, і ніколи, повторюю, ніколи не ходіть на ніякі сайти, окрім gagadget.com та apple.com

PS: треба свій браузер і Java на вразливості перевірити

Ответить
jin
0
Darkshadow читатель (28 комментариев)
18 апреля 2012 г. 13:00:35 #

Конечно, дыры в Сафари и прочие уязвимости, которые спокойно обходят сэндбоксы получая рут-доступ (что практически невозможно представить себе в прародительском FreeBSD) - это не вина Ёппла, ага. Посмотрим, что будет, когда начнут писать вирусы под iOS, где в целях ускорения практически отказались от песочницы в пользу премодерации кода. Когда посыпятся кирпичами все огрызко-девайсы, будет весьма забавно.

Ответить
Darkshadow
0
jin гагаджетоман (1163 комментария)
18 апреля 2012 г. 13:35:26 #

Я ж написав, що ніякого софта ставити не можна з будь-яких місць, окрім AppStore, ніякого контенту нізвідки окрім iTunes Store, ніяких сайтів, окрім gagadget.com та apple.com не відвідувати, тоді точно не буде вірусів! чесно-чесно.

От, і Сергій Макаренко підтвердить

Ответить
jin
0
Capt_Vimes гаджетоман (89 комментариев)
18 апреля 2012 г. 8:56:17 #

Про-яблочное лобби на ГГ пытается продолжить рассказывать как у них все хорошо, в отличии от. :)

А где можно почитать про ОС Unics? Гугл почему то не знает про нее :( может таки Unix ?

Ответить
Capt_Vimes
0
Сергій Макаренко старожил (330 комментариев)
18 апреля 2012 г. 9:16:14 #

Про-яблочное лобби на ГГ пытается продолжить рассказывать как у них все хорошо, в отличии от. :)

Kirill, вы пытаетесь про-яблочному лобби приписать мотивы, которых у него на самом деле нет. Он освещает соответствующую тему для читателей gg.

А где можно почитать про ОС Unics? Гугл почему то не знает про нее :( может таки Unix ?

Вы не внимательно читали статью. В последнем абзаце была приведена ссылка на вот такую любопытную диаграму. Как из нее видно, Unics является тем истоком, из которого вышли все академические ОС. Касательно Unics информация есть здесь. В 1969 году Кен Томпсон написал первую версию новой операционной системы, а Брайан Керниган придумал для неё название — UNICS (UNIplexed Information and Computing System). Позже это название сократилось до UNIX.

Ответить
Сергій Макаренко
0
Darkshadow читатель (28 комментариев)
18 апреля 2012 г. 12:55:54 #

Только вот OS X не потомок, в данном случае, а бастард-кастрат.

Ответить
Darkshadow
0
Сергій Макаренко старожил (330 комментариев)
18 апреля 2012 г. 16:49:44 #

Если отбросить негатив то можете как-то аргументировать свою точку зрения?

Ответить
Сергій Макаренко
0
Darkshadow читатель (28 комментариев)
18 апреля 2012 г. 22:05:10 #

Как бы вам ответить... Кастарт - я думаю вы не станете спорить, что MacOS X - обрезок от FreeBSD с чудовищно ограниченым функционалом настройки системы?

Что касается бастарда - то сделать на базе свободной открытой мультриплатформенной ОС жестко привязанного к аппаратной части пропиетарного монстрика - как ещё назвать? При этом фактически скрестив с некоторыми выдержками кода из NextStep. Отсюда и бастард (дословное значение) - незаконнорожденный потомок :)

Ответить
Darkshadow
0
Сергій Макаренко старожил (330 комментариев)
18 апреля 2012 г. 23:45:26 #

Кастарт — я думаю вы не станете спорить, что MacOS X — обрезок от FreeBSD с чудовищно ограниченым функционалом настройки системы?

Не только не буду спорить с таким утверждением но и даже соглашусь. Однако посмотрите на это со стороны обычного пользователя (коим являюсь и я). Какие бы функции FreeBSD пригодились бы, например, обычной домохозяйке, которая смотрит фильмы, слушает музыку, твитит, обрабатывает фотографии и шарится в интернетах? Чтобы потерял пользователь от этого, который использует Mac OS X для работы?

Что касается бастарда — то сделать на базе свободной открытой мультриплатформенной ОС жестко привязанного к аппаратной части пропиетарного монстрика — как ещё назвать? При этом фактически скрестив с некоторыми выдержками кода из NextStep.

Думаю, что особого значения способ, которым достигается удовлетворение требований пользователя, не имеет. Мне, как пользователю, нет дела до ее корней и родословной. Главное для меня то, что эта система не отнимает на себя времени позволяя сконцентрироваться на той работе, которую я делаю. Это очень хороший рабочий инструмент. И я доволен своим выбором. А поработать мне довелось на разных ОС.

Ответить
Сергій Макаренко
0
Баснослов Оптозоров гаджетоман (57 комментариев)
18 апреля 2012 г. 10:10:35 #

Очередной выпуск колонки графомана.

В Украине еще не приняли закон о запрете пропаганды гомосексуализма?

Ответить
Баснослов Оптозоров
0
Технослав Бергамот гагаджетоман (16506 комментариев)
18 апреля 2012 г. 13:12:00 #

вы мне напоминаете старую шутку "Неуважаемый мною автор, в очередной раз перечитав ваш гадский роман..." Ну не нравится вам что-то - так не читайте. Что ж вы с упорством, достойным лучшего применения, все ходите и ходите читать эту колонку? ;)

Ответить
Технослав Бергамот
0
Slava KP старожил (281 комментарий)
18 апреля 2012 г. 13:55:11 #

Так читать то большей части нечего, а новости у вас обновляются медленно, вот и приходится читать по несколько раз одно и то же, обдумывать, писать до чего додумались... Ну а если серьёзно, то яблоко продукция ни то что рядом не валяется с техникой на которой установлены альтернативные OS, а вообще является каким то недоразумением проистекающим из неоткуда и идущим в никуда... Объясняю - линукс был, есть и будет, как и виндоус, наваяли под эти оси много чего, да чего уж там, я и сам подумываю, что нужно для своего КПК программулины писать начать, что у нас в институте некоторые собственно успешно и делают курсовых проектов ради, но мы отошли от темы... Так вот - компания яблоко если загнётся, то устройства без поддержки долго не проживут, в то время как те же КПК на винде до сих пор в ходу, про линуксоидные история умалчивает, не так много их было и не так много их сейчас. Ещё в пример приведу смарты на Симбе - всё ещё спокойно работает и никто их не выбрасывает, почему? да всё очень просто - куча бесплатного софта, не надобность какой то там синхронизации и т.д, аппараты полностью автономны, в них можно спокойно менять батарею, у них общепринятые стандарты даже по разъёмам, а что у Яблока - всё своё, компания закрылась и апокалипсис для всех владельцев этой продукции настанет не позже чем через год, а для многих и раньше. Доводы мои логичны и если вы с ними не согласны, тогда уж не знаю, что вам в пример приводить...

Ответить
Slava KP
0
Технослав Бергамот гагаджетоман (16506 комментариев)
18 апреля 2012 г. 14:30:15 #

Хорошее замечание, кстати. А вы уверены, что новостей нужно больше? Не станет ли тогда лента новостей скучной и уныло-однообразной? Долгое время мы отличались как раз тем, что у нас хорошая выборка - в ленте только самое интересное. Возможно, пришло время что-то изменить, но вопрос не такой простой, как кажется. Насчет линукса и симбиана - понятно, но вы вообще о закрытии какой компании говорите?

Ответить
Технослав Бергамот
0
Slava KP старожил (281 комментарий)
18 апреля 2012 г. 14:51:59 #

Насчёт новостей - ну вот было такое, что пару дней заходил, а одна и таже новость висела на главной странице, я думаю можно не больше новостей, тогда нужно взять за правило их публиковать определённое кол-во в неделю, ну что бы читатель знал, что он зайдёт например завтра, а там 100% новая новость, мне лично не понравилось, когда я пару дней лицезрел одно и то же, так как читаю только ваш сай, единственный источник информации иссяк и читать особо нечего было... В общем я даже не знаю - качество и количество это конечно было бы хорошо, но знаю, что так не получится, я думаю, что нужно спросить у всех, какой то экзитпол провести ли что? всё таки мнение аудиториии решает...

...Пока никакой, но Яблочная компания если и раньше не радовала, то теперь уж совсем грустно стало, не знаю чем это всё закончится, но мне кажется, что если не закрытием, то хотя бы локализацией рынка, сосредоточиванием например в США, а вообще яблоко - это очень странная компания, держащаяся только на вере энтузиазме, это даже больше не на компанию, а на церковь похоже - по анологии... в общем думаю смысл передан правильно.

Удачной вам реорганизации... и пока есть возможность, разрешу себе вставить свои пять копеек - можно прописать наконец скрипт на сайте, что бы Allowed HTML tags были вверху в виде готовых кнопок? да и ещё, вот когда я пишу сообщение, часто забываю отредактировать пункт "Сообщать мне о комментариях к этой заметке:" в результате чего можно сидеть и ждать нового ответа до упора, забыв о том, что не был отмечен такой важный пункт - раньше вроде по другому было, ну это конечно уже мои пожелания, но может что то сделаете с этим тоже.

Ответить
Slava KP
0
Евгений Бонд гагаджетоман (8502 комментария)
18 апреля 2012 г. 20:03:38 #

Я так понял, что Вы еще не открыли для себя rss, раз заходите на главную. По выходным дням, за редкими исключениями, я новостей не пишу.

Ответить
Евгений Бонд
0
Slava KP старожил (281 комментарий)
18 апреля 2012 г. 20:04:38 #

да, лентой новостей я не пользует, она мне по какой то причине не нравится

Ответить
Slava KP
0
Сергій Макаренко старожил (330 комментариев)
18 апреля 2012 г. 15:36:06 #

Очень интересная точка зрения. Из прошлого. Но все равно спасибо.

Ответить
Сергій Макаренко
0
Slava KP старожил (281 комментарий)
18 апреля 2012 г. 15:38:36 #

Ага, когда то думали, что симба будет вечно... ...Или вы не об этом?

Ответить
Slava KP
0
Сергій Макаренко старожил (330 комментариев)
18 апреля 2012 г. 16:27:11 #

Да, именно о ней. Плюс меня еще смутил термин КПК. Вы имели ввиду устройства на базе Windows Mobile или вы так постаринке называете современные Android-устройства?

Ответить
Сергій Макаренко
0
Slava KP старожил (281 комментарий)
18 апреля 2012 г. 16:28:03 #

Я имел ввиду устройства на базе Windows Mobile.

Ответить
Slava KP
0
Сергій Макаренко старожил (330 комментариев)
18 апреля 2012 г. 16:48:29 #

Я уже сто лет с ними не сталкивался. Хотя в свое время пользовался HP iPAQ hx4700. И два года активно использовал Nokia E71. Однако после того, как в 2009 купил iPhone 3GS "подсел" на iOS. Не могу сказать, что то, что имею сейчас лучше того, то было. Оно просто другое. А вот ощущения как пользователя: на много все проще стало. Помню, я раньше нак-то хитро настраивал Active Sync, чтобы HP iPAQ hx4700 мог по Wi-Fi синхронизироваться… А сейчас просто вкючаешь и оно работает. Про восстановление из бекапа псле обновления Symbian я вообще молчу.

Ответить
Сергій Макаренко
0
Slava KP старожил (281 комментарий)
18 апреля 2012 г. 16:54:53 #

Ну не знаю, у меня и сейчас всё прекрасно работает, интернет цепляется к КПК правда через кредл, свой смарт на симбе прошивал всего пару раз, так что особых трудностей никогда не испытывал с предыдущими поколениями устройств.

Ответить
Slava KP
0
jin гагаджетоман (1163 комментария)
18 апреля 2012 г. 17:47:02 #

Сергію, не варто перебільшувати, давай повернемось до фактів:

— я не знаю твого віку, але сумніваюсь, що тобі більше сотні років; — модель Nokia E71 випущена влітку 2008 року, а це менше сотні років тому; і ти не міг після дворічного використання E71 повністю перейти на iPhone 3Gs у 2009; — iPAQ hx4700 вийшов на ринок у 2004 році, що відчутно менше сотні років тому.

Ответить
jin
0
Slava KP старожил (281 комментарий)
18 апреля 2012 г. 17:49:13 #

Я лично пользуюсь HP ipaq 2210, чисто для справки.

Ответить
Slava KP
0
SomeMan ветеран (558 комментариев)
18 апреля 2012 г. 17:10:54 #

"Ну не нравится вам что-то — так не читайте." Уважаемый, Технослав) а что собственно еще можно почитать на гагаджете сейчас? какие еще статьи кроме этой колонки выходят на сайте? я вижу только обзоры... и не всегда самые лучшие(( киньте, пожалуйста, несколько ссылок на статьи интересные :)

Ответить
SomeMan
0
AllerWherer читатель (25 комментариев)
18 апреля 2012 г. 10:20:54 #

То, что пользователя винды рядовое событие, то для маковода достойно отдельной статьи. Очень толсто.

Ответить
AllerWherer
0
Евгений Бонд гагаджетоман (8502 комментария)
18 апреля 2012 г. 20:03:10 #

черт, не туда написал

Ответить
Евгений Бонд
0
S_o_l читатель (5 комментариев)
19 апреля 2012 г. 10:09:11 #

Присоединясь. В последнее время только графоманские статьи про Apple из разряда: "Почему мы лучшие и красивые".

Ответить
S_o_l
0