Докато OS X беше сравнително нищожен от зловреден софтуер за първите 10 години на употреба, наскоро се появиха заплахи от злонамерен софтуер, които засегнаха значителен брой Mac системи.

Една от първите е фалшивата антивирусна измама на MacDefender, която имаше хора, които издаваха информация за кредитни карти от страх, че системите им са заразени. Тази измама се промени доста бързо, тъй като се опитваше да избегне откриването и да продължи да принуждава хората да предлагат лична информация. Друга измама е зловредният софтуер DNSChanger, който е засегнал милиони компютърни системи в световен мащаб и който в крайна сметка насочва засегнатите системи към злонамерени уеб сайтове и подобно на зловредния софтуер MacDefender, който се опитва да накара хората да предлагат лична информация.

Последният зловреден софтуер, който е ударил OS X, е измамата с Flashback, която първоначално стартира като фалшиво приложение за инсталиране на Flash player, което е относително лесно да се избегне. Въпреки това, заплахата бързо се превърна в по-сериозна заплаха, като се възползва от неподпазените дупки в сигурността на Java (които Apple оттогава е адресирала), за да се инсталира на Mac с Java, като просто посещава злонамерена уеб страница и не изисква внимание от страна на потребителя. Засега се смята, че е заразил над 600 000 Mac системи по света, като по-голямата част е в САЩ и Канада.

Как работи?

Вредният софтуер Flashback инжектира код в приложения (особено в уеб браузъри), които ще се изпълняват, когато те стартират, и които след това изпращат екранни снимки и друга лична информация на отдалечени сървъри.

Първа стъпка: Използване на Java

Когато срещнете злонамерената уеб страница, съдържаща зловредния софтуер и имате неподписана версия на Java, която ще се изпълнява на вашата система, тя първо ще изпълни малък Java аплет, който при изпълнение ще прекъсне защитата на Java и ще напише малка инсталационна програма към акаунта на потребителя. Програмата се нарича нещо като .jupdate, .mkeeper, .flserv, .null или .rserv, а периодът пред него се явява скрит в изгледа на Finder по подразбиране.

Освен това аплетът на Java ще напише файл за стартиране с име "com.java.update.plist", "com.adobe.reader.plist", "com.adobe.flp.plist" или дори "null.plist" към папката ~ / Library / LaunchAgents на текущия потребител, която непрекъснато ще стартира програмата .jupdate всеки път, когато потребителят е влязъл.

За да се избегне откриването, инсталаторът първо ще потърси наличието на някои антивирусни инструменти и други помощни програми, които могат да присъстват в енергийната потребителска система, която според F-Secure включва следното:

/ Библиотека / Малък Снич

/Developer/Applications/Xcode.app/Contents/MacOS/Xcode

/ Приложения / VirusBarrier X6.app

/Applications/iAntiVirus/iAntiVirus.app

/Applications/avast!.app

/Applications/ClamXav.app

/Applications/HTTPScoop.app

/ Приложения / Packet Peeper.app

Ако тези инструменти се намерят, тогава зловредният софтуер се изтрива в опит да предотврати откриването от тези, които имат средства и възможности да го направят. Много от зловредните програми използват това поведение, както се вижда и в други, като например бота с малуер за цунами.

Втора стъпка: Изтегляне на полезния товар

Когато юпидат програмата се изпълни, тя ще се свърже с отдалечен сървър и ще изтегли програма за натоварване, която е самият злонамерен софтуер, и която се състои от два компонента. Първият е основната част от зловредния софтуер, който извършва улавянето и качването на лична информация, а вторият е филтриращ компонент, който се използва, за да се предотврати пускането на зловреден софтуер, освен ако не се използват специфични програми като уеб браузъри.

Трета стъпка: Инфекция

След като зловредният софтуер и филтъра бъдат изтеглени, зловредният софтуер се стартира, за да зарази системата. Това е мястото, където потребителите ще виждат предупреждение за актуализация на софтуера и ще бъдете подканени да предоставят паролите си. За съжаление в този момент няма нищо, което да спре инфекцията и дали паролата се доставя само променя начина на заразяване.

Коренът на рутинната процедура за заразяване се основава на отвличане на конфигурационни файлове в OS X, които се четат и изпълняват, когато се изпълняват програми. Едно от тях се нарича "Info.plist", намиращо се в папката "Съдържание" във всеки пакет с приложения за OS X, и се чете всеки път, когато се отвори конкретната програма. Втората се нарича "environment.plist" и се намира в потребителския акаунт в скрита папка (~ / .MacOSX / environment.plist), която може да се използва за стартиране на параметри, когато някоя програма се отваря от потребителя.

Първият начин на заразяване е, ако е предоставена парола, в който случай зловредният софтуер променя файловете Info.plist в Safari и Firefox, за да стартира зловредния софтуер при всяко отваряне на тези програми. Това е предпочитаният от зловреден софтуер начин на заразяване, но ако не е предоставена парола, злонамереният софтуер прибягва до втория си вид инфекция, където променя файла "environment.plist".

Чрез използване на файла environment.plist зловредният софтуер ще се стартира при всяко отваряне на приложение и това ще доведе до сривове и други странни поведения, които могат да предизвикат аларма за потребителя, така че злонамереният софтуер след това използва компонента си за филтриране, за да работи само когато определени приложения са стартирани, като Safari, Firefox, Skype и дори инсталации на Office.

Така или иначе, след като бъде изтеглена, зловредният софтуер ще зарази системата, използвайки един от тези подходи и ще се изпълнява всеки път, когато се използват целеви приложения като уеб браузъри. В по-новите варианти на зловреден софтуер, когато се инсталира с помощта на файла "environment.plist", той ще провери допълнително системата, за да осигури пълна инсталация на програми като Office или Skype, и потенциално да се изтрие, ако тези програми не са напълно или правилно инсталирани. F-Secure предполага, че това е опит да се предотврати ранното откриване на зловреден софтуер.

Как да го открия?

Откриването на злонамерен софтуер е доста лесно и изисква просто да отворите приложението Terminal в папката / Applications / Utilities / и да изпълните следните команди:

по подразбиране прочетете ~ / .MacOSX / environment DYLD_INSERT_LIBRARIES

по подразбиране прочетете /Applications/Safari.app/Contents/Info LSEnvironment

по подразбиране прочетете /Applications/Firefox.app/Contents/Info LSEnvironment

Тези команди ще прочетат файла "Info.plist" на някои целеви приложения и файла "environment.plist" в потребителския акаунт, и ще определи дали променливата, използвана от зловредния софтуер да се стартира сама (наречена "DYLD_INSERT_LIBRARIES"). Ако променливата не е налична, тези три терминални команди ще изведат, че двойката по подразбиране "не съществува", но ако са налице, тези команди ще изведат път, който сочи към файла със зловреден софтуер, който трябва да видите в терминала. прозорец.

В допълнение към горните команди, можете да проверите за наличие на невидими .so файлове, които минали варианти на зловреден софтуер създават в директорията на споделения потребител, като изпълните следната команда в Терминала:

ls -la ~ /../ Споделени /. *

След като изпълните тази команда, ако видите изход от "няма такъв файл или директория", тогава нямате тези файлове в споделената от вас директория; но ако са налице, ще ги видите в списъка.

Как да го премахна?

Ако след изпълнението на първите три команди за откриване установите, че вашата система съдържа модифицираните файлове и подозирате, че има инсталиран зловреден софтуер, можете да го премахнете, като използвате инструкциите за ръчно премахване на F-Secure. Тези инструкции са малко по-задълбочени, но ако ги следвате точно, тогава трябва да сте в състояние да освободите системата от инфекцията:

1. Отворете терминала и изпълнете следните команди (същите като по-горе):

   по подразбиране прочетете /Applications/Safari.app/Contents/Info LSEnvironment

   по подразбиране прочетете /Applications/Firefox.app/Contents/Info LSEnvironment

   по подразбиране прочетете ~ / .MacOSX / environment DYLD_INSERT_LIBRARIES

   Когато тези команди се изпълняват, отбележете пълен път на файла, който се извежда в прозореца на терминала (той може да бъде свързан с термина "DYLD_INSERT_LIBRARIES"). За всяка от командите, които извеждат пътя на файла (и не казват, че двойката домейн не съществува), копирайте секцията пълен път на файла и изпълнете следната команда с пътя на файла вместо FILEPATH в командата (копиране и поставяне тази команда):

   grep -a -o '__ldpath __ [- ~] *' FILEPATH
2. Намерете файловете, споменати в изхода на горните команди, и ги изтрийте. Ако не можете да ги намерите в Finder, тогава за всеки първи тип "sudo rm" в терминала, последван от едно пространство, и след това използвайте курсора на мишката, за да изберете пълен път от изхода на първата команда, и използвайте Command-C последвано от Command-V за копиране и поставяне обратно в терминала. След това натиснете Enter, за да изпълните командата и премахнете този файл.

   Вижте следната снимка на екрана за пример как това трябва да изглежда:

   

3. Когато сте изтрили всички препратки на файлове по командите "по подразбиране" по-горе, тогава сте премахнали файловете за злонамерен софтуер, но все пак трябва да рестартирате променените приложения и файлове на профилите, за да направите това, изпълнете следните команди:

   sudo по подразбиране изтрива /Applications/Safari.app/Contents/Info LSEnvironment

   sudo chmod 644 /Applications/Safari.app/Contents/Info.plist

   sudo по подразбиране изтрива /Applications/Firefox.app/Contents/Info LSEnvironment

   sudo chmod 644 /Applications/Firefox.app/Contents/Info.plist

   по подразбиране изтрива ~ / .MacOSX / environment DYLD_INSERT_LIBRARIES

   launchctl unsetenv DYLD_INSERT_LIBRARIES
4. В Finder отидете в менюто Go и изберете Library (задръжте клавиша Option в Lion, за да разкриете тази опция в менюто), след което отворете папката LaunchAgents, където трябва да видите файл с име "com.java.update" .plist ". След това въведете следната команда в Терминала (Забележка: променете името на "com.java.update" в командата, за да отразите името на файла преди неговия .plist суфикс, като например "com.adobe.reader", ако има този файл):

   по подразбиране прочетете ~ / Library / LaunchAgents / com.java.update ProgramArguments

   Когато тази команда приключи, натиснете Enter и отбележете пътя на файла, който е бил изведен към терминалния прозорец.

   Както и преди, намерете този файл в Finder и го изтрийте, но ако не можете да го направите, напишете "sudo rm", последвано от едно пространство, след което копирайте и поставете пътя на изходния файл в командата и натиснете Enter.

5. За да премахнете всички скрити .so файлове, намерени по-рано, можете да ги премахнете, като изпълните следната команда в Терминала (не забравяйте да копирате и поставите тази команда, тъй като в последния компонент, който съдържа символите и препинателните знаци, не трябва да има никакви интервали. ):

   sudo rm ~ /../ Споделени /. *

   След като тази стъпка приключи, премахнете файла, наречен "com.java.update.plist" (или "com.adobe.reader.plist" и трябва да сте добре.

АКТУАЛИЗИРАНО: 05.04.2012 г., 22:00 ч. - Добавени са инструкции за откриване и отстраняване на скрити .so файлове, използвани от предишни варианти на зловредния софтуер.