Platforma Mac spoločnosti Apple je už dlho podporovaná ako bezpečnejšia ako konkurencia, ale keďže predaj a podiel na trhu Mac rastie, stáva sa väčším cieľom.
Nikde to nie je jasnejšie, ako s Flashback Trojan, hrozivý kúsok malware určený na ukradnutie osobných informácií maskovaním ako veľmi bežných prehliadačov zásuvných modulov. Včera ruská antivírusová spoločnosť Dr. Web uviedla, že v dôsledku toho, že používatelia nevedomky inštalujú softvér, je teraz infikovaných 600 000 Macov.
Takže tu je rýchly najčastejšie otázky o Flashback Trojan, vrátane informácií o tom, čo to je, ako zistiť, či máte to, a kroky, ktoré môžete urobiť, aby ste sa ho zbavili.
Čo presne je Flashback?
Flashback je forma škodlivého softvéru určeného na chytenie hesiel a iných informácií od používateľov prostredníctvom ich webového prehliadača a iných aplikácií, ako je Skype. Používateľ zvyčajne pri návšteve škodlivého webu chýba legitímny doplnok prehliadača. V tomto momente softvér inštaluje kód určený na zhromažďovanie osobných informácií a ich odoslanie späť na vzdialené servery. V najnovších inkarnáciách sa softvér môže nainštalovať bez interakcie používateľa.
Kedy sa prvýkrát objavil?
Flashback, ako vieme, sa objavil tesne pred koncom septembra minulého roka a predstieral, že je inštalátor Adobe Flash, ktorý je široko používaným plug-inom pre streaming video a interaktívne aplikácie, ktoré spoločnosť Apple už nepodáva na svojich počítačoch. Malware sa vyvinul tak, aby sa zameral na runtime Java na OS X, kde by používatelia navštívili škodlivé lokality a potom by ich chceli nainštalovať na svojom počítači, aby si prezreli webový obsah. Pokročilejšie verzie by sa inštalovali na pozadí bez potreby hesla.
Ako to nakazilo toľko počítačov?
Jednoduchá odpoveď spočíva v tom, že softvér bol navrhnutý tak, aby urobil presne to. V počiatočnom inkarnácii sa malware podobal inštalačnému programu Adobe Flash. Nepomohlo tomu, že spoločnosť Apple neposlala Flash na svoje počítače o viac ako rok, pravdepodobne vytvorila skupinu používateľov s väčšou pravdepodobnosťou spustiť inštalátora na zobrazenie populárnych webových stránok, ktoré bežia na Flash. Vo svojich novších variantoch týkajúcich sa jazyka Java by sa softvér mohol inštalovať bez toho, aby používateľ musel kliknúť na čokoľvek alebo mu poskytnúť heslo.
Čo tiež nepomohlo, je spôsob, akým Apple zaoberá Java. Namiesto jednoduchého používania aktuálnej verejnej verzie Java spoločnosť vytvára a udržuje vlastné verzie. Ako sa ukáže, spisovatelia malware využili jednu zraniteľnosť, ktorú Oracle opätovne opravil vo februári. Spoločnosť Apple sa do apríla nedostala do svojej vlastnej verzie Java.
Čo urobil s tým Apple?
Spoločnosť Apple má vlastný malwarový skener zabudovaný do operačného systému OS X nazývaný XProtect. Od spustenia aplikácie Flashback bol bezpečnostný nástroj dvakrát aktualizovaný, aby identifikoval a ochránil niekoľko variantov Flashback.
Novšia verzia škodlivého softvéru však získala XProtect spustením súborov prostredníctvom Java. Spoločnosť Apple uzavrela 3. apríla hlavný vstupný bod malwaru s aktualizáciou Java a odvtedy vydala nástroj na odstránenie ako súčasť nasledujúcej aktualizácie Java.
Treba poznamenať, že bezpečnostné opravy Java sú dostupné iba v systéme Mac OS X 10.6.8 a neskôr, takže ak používate OS X 10.5 alebo starší, budete stále zraniteľní. Spoločnosť Apple prestala poskytovať aktualizácie softvéru pre tieto operačné systémy.
Ako zistím, či to mám?
Práve teraz najjednoduchší spôsob, ako zistiť, či bol váš počítač nakazený, je odísť do bezpečnostnej firmy F-Secure a stiahnúť jeho softvér na detekciu a odstránenie spätnej väzby. Postupujte podľa pokynov na získanie a používanie. Bezpečnostná spoločnosť Symantec ponúka svoj vlastný samostatný nástroj značky Norton, ktorý môžete získať tu.
Prípadne môžete spustiť trojicu príkazov v termináli, softvér, ktorý nájdete v priečinku Utilities v priečinku aplikácií Mac. Ak ho chcete nájsť bez kopania, jednoducho vyhľadajte "Terminál."
Akonáhle tam, skopírujte a prilepte každý z kódových reťazcov nižšie do okna terminálu. Príkaz sa spustí automaticky:
predvolené čítanie /Applications/Safari.app/Contents/Info LSEnvironment
predvolené čítanie /Applications/Firefox.app/Contents/Info LSEnvironment
predvolené prečítať ~ / .MacOSX / prostredie DYLD_INSERT_LIBRARIES
Ak je váš systém čistý, povely vám povedia, že tie domény / predvolené páry "neexistujú." Ak ste infikovaní, vyplienú sa na opravu, kde sa malware nainštaloval vo vašom systéme.
Uh, mám to. Ako ju odstránim?
Použitím jedného z vyššie uvedených nástrojov F-Secure alebo Norton sa automaticky odstránia škodlivý softvér z vášho počítača bez ďalších krokov. Ak ste z nejakého dôvodu opatrní pri používaní jedného z týchto nástrojov tretích strán, Topher Kessler spoločnosti CNET poskytuje krok za krokom sprievodcu, ako odstrániť Flashback z počítača Mac. Tento proces tiež vyžaduje preskakovanie do Terminálu a spúšťanie týchto príkazov, sledovanie tam, kde sú uložené infikované súbory, a potom ich ručne vymazať.
Pre správnu mieru je tiež dobré zmeniť vaše heslá online vo finančných inštitúciách a iných bezpečných službách, ktoré ste mohli používať v čase, keď bol počítač napadnutý. Nie je jasné, či boli tieto údaje zacielené, zaznamenané a odoslané ako súčasť útoku, ale je to inteligentné preventívne správanie, ktoré stojí za to robiť pravidelne.
Súvisiace príbehy
- Odstraňovač malwaru Flashback od spoločnosti Apple teraz žije
- Flashback najväčšiu hrozbu škodlivého softvéru pre počítače Mac, hovoria odborníci
- Viac ako 600 000 Mac infikovaných botnetom Flashback
- Aktualizácia jazyka Java pre záplaty systému OS X Využívanie malware spätnej väzby
- ZDNet: Nová epiderma malware v Macu využíva slabé miesta v ekosystéme spoločnosti Apple
Takže teraz tu sú opravy, som v bezpečí?
Jedným slovom, nie. Autori Flashback už prejavili sklon k tomu, aby zmenili škodlivý softvér, aby sa vyhli novým bezpečnostným opravám.
Cieľom spoločnosti CNET je predovšetkým prevziať akýkoľvek softvér len z dôveryhodných zdrojov. To zahŕňa stránky známych a dôveryhodných výrobcov softvéru, ako aj zabezpečené úložiská, ako napríklad CNET Download.com. Rovnako ako ďalšie pravidlo, je dobré udržať doplnky tretích strán čo najaktuálnejšie, aby zostali aktuálne so všetkými bezpečnostnými aktualizáciami. Ak chcete zostať ešte bezpečnejší, držte sa ďaleko od Java a iných systémových doplnkov, ak ich nepotrebuje dôveryhodný softvér alebo webová služba.
CNET blogger Topher Kessler a senior editor spoločnosti CNET Seth Rosenblatt prispeli k tejto správe.
Aktualizované o 1:40 pm PT dňa 5. apríla s aktualizovanými pokynmi na odstránenie. Aktualizované 6. apríla v 7:44 hod. PT s informáciami o druhej aktualizácii od spoločnosti Apple ao 1:55 hod. PT s informáciami o webovom detekčnom programe Dr.Web. Aktualizované 9. apríla o 12:30 hod. PT s nezávislým potvrdením, že formulár Dr. Web je pre ľudí bezpečný. Aktualizované opäť o 16.00 hod. PT 12. apríla, aby si všimli vydanie a detaily vlastného nástroja na odstránenie od spoločnosti Apple.
Zanechajte Svoj Komentár