Kaut arī OS X pirmo desmit lietošanas gadu laikā bija salīdzinoši tukša ļaunprātīga programmatūra, pēdējā laikā ļaunprātīgas programmatūras bailes ir samazinājušās, kas ir ietekmējušas ievērojamu skaitu Mac sistēmu.
Viens no pirmajiem bija MacDefender viltus antivīrusu scam, kas cilvēkiem, kuri izsniedza kredītkaršu informāciju, baidījās, ka viņu sistēmas bija inficētas. Šis scam bija diezgan straujš, jo mēģināja izvairīties no atklāšanas un turpināt piespiest cilvēkus sniegt personisku informāciju. Vēl viens scam bija DNSChanger ļaunprātīga programmatūra, kas ietekmēja miljoniem datoru sistēmu visā pasaulē, un kas galu galā vērsa ietekmētās sistēmas uz ļaunprātīgām tīmekļa vietnēm, un tāpat kā MacDefender ļaunprātīga programmatūra mēģināja panākt, lai cilvēki piedāvātu personisku informāciju.
Jaunākās ļaunprātīgās programmatūras, kas skāra OS X, ir Flashback scam, kas sākotnēji sākās kā viltus Flash player instalēšanas programma, kas bija salīdzinoši viegli novēršama. Tomēr draudi strauji kļuva par nopietnāku apdraudējumu, izmantojot Java neizmantotos drošības caurumus (ko Apple kopš tā laika ir adresējusi), lai instalētu Mac, kas darbojas ar Java, vienkārši apmeklējot ļaunprātīgu tīmekļa lapu un neprasot nekādu lietotāju uzmanību. Līdz šim tiek lēsts, ka visā pasaulē ir inficēti vairāk nekā 600 000 Mac sistēmu, lielākā daļa ASV un Kanādā.
Kā tas darbojas?
Flashback ļaunprātīga programmatūra ievada kodu lietojumprogrammās (īpaši tīmekļa pārlūkprogrammās), kuras tiks izpildītas, kad tās paliks, un pēc tam attālās serveriem nosūta ekrānuzņēmumus un citu personisko informāciju.
Pirmais solis: Java izmantošana
Kad jūs sastopaties ar ļaunprātīgu tīmekļa vietni, kurā ir ļaunprātīga programmatūra, un jūsu sistēmā darbojas nepārspējama Java versija, tā vispirms izpildīs nelielu Java sīklietotni, kas palaižot Java drošību un uzrakstot nelielu instalēšanas programmu lietotāja kontā. Programma ir nosaukta kā .jupdate, .mkeeper, .flserv, .null vai .rserv, un tā priekšā esošais periods padara to par paslēptu noklusējuma Finder skatā.
Turklāt Java sīklietotne rakstīs palaišanas failu ar nosaukumu "com.java.update.plist", "com.adobe.reader.plist", "com.adobe.flp.plist" vai pat "null.plist" pašreizējā lietotāja ~ / Library / LaunchAgents / mapē, kas nepārtraukti palaidīs .jupdate programmu, kad lietotājs ir pieteicies.
Lai izvairītos no atklāšanas, uzstādītājs vispirms meklēs dažus pretvīrusu rīkus un citus līdzekļus, kas varētu būt strāvas lietotāja sistēmā, un saskaņā ar F-Secure datiem:
/ Bibliotēka / Little Snitch
/Developer/Applications/Xcode.app/Contents/MacOS/Xcode
/ Pieteikumi / VirusBarrier X6.app
/ Pieteikumi/iAntiVirus/iAntiVirus.app
/Applications/avast!.app
/Applications/ClamXav.app
/Applications/HTTPScoop.app
/ Programmas / Pakeš. Peeper.app
Ja šie rīki tiek atrasti, ļaunprātīga programmatūra izdzēš sevi, cenšoties novērst atklāšanu tiem, kam ir līdzekļi un spēja to darīt. Daudzas ļaunprātīgas programmatūras programmas izmanto šo uzvedību, kā tas bija redzams citās, piemēram, cunami ļaunprātīgas programmatūras botā.
Otrais solis: lietderīgās slodzes lejupielāde
Kad jupdate programma tiek izpildīta, tā izveidos savienojumu ar attālo serveri un lejupielādēs programmu, kas ir ļaunprātīga programmatūra, un kas sastāv no divām sastāvdaļām. Pirmais ir galvenā daļa no ļaunprātīgas programmatūras, kas veic personiskās informācijas sagūstīšanu un augšupielādi, un otrā ir filtru sastāvdaļa, kas tiek izmantota, lai novērstu ļaunprātīgas programmatūras darbību, ja vien netiek izmantotas īpašas programmas, piemēram, tīmekļa pārlūkprogrammas.
Trešais solis: infekcija
Kad ļaunprātīga programmatūra un filtrs ir lejupielādēti, ļaunprātīga programmatūra tiek izmantota, lai inficētu sistēmu. Tas ir, ja lietotāji redzēs brīdinājumu par programmatūras atjauninājumu un tiks aicināti sniegt paroles. Diemžēl šajā brīdī nav nekas, kas apturētu infekciju, un vai parole tiek piegādāta tikai vai nu, mainot infekcijas veidu.
Infekcijas rutīnas sakne balstās uz konfigurācijas failu nolaupīšanu OS X, kas tiek nolasīti un izpildīti, kad tiek palaistas programmas. Vienu no tiem sauc par "Info.plist", kas atrodas mapē "Saturs" katrā OS X lietojumprogrammu paketē un tiek lasīts ikreiz, kad tiek atvērta šī īpašā programma. Otru sauc par "environment.plist", un tā atrodas lietotāja kontā slēptajā mapē (~ / .MacOSX / environment.plist), ko var izmantot, lai palaistu parametrus, kad lietotājs atver visas programmas.
Pirmais infekcijas veids ir, ja tiek piegādāta parole, un šādā gadījumā ļaunprātīga programmatūra maina Safari un Firefox esošos failu Info.plist, lai palaistu ļaunprātīgu programmatūru, kad šīs programmas tiek atvērtas. Tas ir ļaunprātīgas programmatūras vēlamais infekcijas veids, bet, ja parole netiek piegādāta, ļaunprātīga programmatūra aizkavē savu otro infekcijas veidu, kur maina failu "environment.plist".
Izmantojot failu files.plist, ļaunprātīga programmatūra tiks rādīta ikreiz, kad tiks atvērta kāda programma, un tas novedīs pie avārijām un citām nepāra darbībām, kas lietotājam var izraisīt trauksmi, tāpēc ļaunprātīga programmatūra pēc tam izmanto filtru komponentu, lai darbotos tikai tad, kad noteiktas programmas tiek palaists, piemēram, Safari, Firefox, Skype un pat Office instalācijas.
Katrā ziņā, tiklīdz lejupielādēta programmatūra, ļaunprātīga programmatūra inficēs sistēmu, izmantojot kādu no šīm pieejām, un darbosies, kad tiks izmantotas mērķa lietojumprogrammas, piemēram, tīmekļa pārlūkprogrammas. Jaunākos ļaunprātīgas programmatūras variantos, instalējot failu "environment.plist", tā turpinās pārbaudīt sistēmu, lai nodrošinātu tādu programmu, piemēram, Office vai Skype, pilnīgu instalāciju, un, iespējams, tās izdzēsīs, ja šīs programmas nav pilnībā vai pareizi instalēta. F-Secure spekulē, ka tas ir mēģinājums novērst ļaunprātīgas programmatūras agrīnu atklāšanu.
Kā to atklāt?
Ļaunprātīgas programmatūras noteikšana ir diezgan vienkārša, un jums ir nepieciešams vienkārši atvērt termināla lietojumprogrammu mapē / Applications / Utilities / mapē un palaist šādas komandas:
noklusējumi lasa ~ / .MacOSX / vide DYLD_INSERT_LIBRARIES
noklusējumi lasa /Applications/Safari.app/Contents/Info LSEnavide
noklusējumi lasa /Applications/Firefox.app/Contents/Info LSEnavide
Šīs komandas lasīs dažu mērķa lietojumprogrammu "Info.plist" un lietotāja kontā esošo "environment.plist" failu un noteiks, vai mainās ļaunprātīgas programmatūras izmantojums pats par sevi (sauc par "DYLD_INSERT_LIBRARIES"). Ja mainīgais nav, tad šīs trīs termināļa komandas izvadīs, ka noklusējuma pāris "nepastāv", bet, ja tās ir, tad šīs komandas izvadīs ceļu, kas norāda uz ļaunprātīgas programmatūras failu, kuru jums vajadzētu redzēt Terminalā. logu.
Papildus iepriekšminētajām komandām, varat pārbaudīt, vai nav redzami .so faili, kurus koplietojamo lietotāju direktorijā ir izveidojuši ļaunprātīgas programmatūras izveides varianti, terminālā veicot šādu komandu:
ls -la ~ /../ Shared /.*
Pēc šīs komandas palaišanas, ja redzat "no šāda faila vai direktorijas" izvadi, tad jums nav šo failu lietotāja koplietotajā direktorijā; tomēr, ja tie ir klāt, jūs redzēsiet tos sarakstā.
Kā to noņemt?
Ja pēc pirmās trīs noteikšanas komandas palaišanas konstatējat, ka jūsu sistēmā ir modificētie faili, un jums ir aizdomas, ka tajā ir instalēta ļaunprātīga programmatūra, tad varat to noņemt, izmantojot F-Secure manuālās noņemšanas instrukcijas. Šie norādījumi ir nedaudz padziļināti, bet, ja jūs tos precīzi ievērojat, tad jums vajadzētu būt iespējai atbrīvoties no infekcijas sistēmas:
- Atveriet termināli un palaidiet šādas komandas (tāpat kā iepriekš):
noklusējumi lasa /Applications/Safari.app/Contents/Info LSEnavide
noklusējumi lasa /Applications/Firefox.app/Contents/Info LSEnavide
noklusējumi lasa ~ / .MacOSX / vide DYLD_INSERT_LIBRARIES
Kad šīs komandas tiek izpildītas, atzīmējiet pilnu faila ceļu, kas tiek izvadīts uz termināla logu (to var savienot pārī ar terminu "DYLD_INSERT_LIBRARIES"). Katrai komandai, kas izvada faila ceļu (un nenorāda domēna pāru), kopējiet pilnu faila ceļa sadaļu un palaist šādu komandu ar faila ceļu, nevis komandā FILEPATH (kopējiet un ielīmējiet) šī komanda):
grep -a -o '__ldpath __ [- ~] *' FILEPATH
- Atrodiet iepriekš minēto komandu izvadā minētos failus un izdzēsiet tos. Ja jūs nevarat tos atrast meklētājā, tad katram pirmajam tipam "sudo rm" terminālā, kam seko viena telpa, un pēc tam izmantojiet peles kursoru, lai atlasītu pilnu faila ceļu no pirmās komandas izejas, un izmantojiet komandu C pēc tam - Command-V, lai to kopētu un ielīmētu terminālā. Pēc tam nospiediet taustiņu Enter, lai izpildītu komandu un noņemtu šo failu.
Lai skatītu piemēru, skatiet šo ekrānuzņēmumu:
- Kad visas faila atsauces ir svītrotas ar iepriekš norādītajām "noklusējuma" komandām, tad esat noņēmis ļaunprātīgas programmatūras failus, bet jums joprojām ir jāiestata nomainītās lietojumprogrammas un konta faili, lai to izdarītu, izpildiet šādas komandas:
sudo defaults dzēst /Applications/Safari.app/Contents/Info LSE vide
sudo chmod 644 /Applications/Safari.app/Contents/Info.plist
sudo defaults dzēst /Applications/Firefox.app/Contents/Info LSE vide
sudo chmod 644 /Applications/Firefox.app/Contents/Info.plist
noklusējums dzēst ~ / .MacOSX / vide DYLD_INSERT_LIBRARIES
startctl unsetenv DYLD_INSERT_LIBRARIES
- Meklētājā dodieties uz izvēlni Iet un izvēlieties Bibliotēka (turiet opcijas taustiņu Lionā, lai izvēlētos šo opciju izvēlnē), un pēc tam atveriet mapi LaunchAgents, kur jums vajadzētu redzēt failu ar nosaukumu, piemēram, "com.java.update .plist. " Tālāk terminālā ievadiet šādu komandu (Piezīme: komandā nomainiet nosaukumu "com.java.update", lai atspoguļotu faila nosaukumu pirms tā .plist sufiksa, piemēram, "com.adobe.reader", ja jūs ir šis fails):
noklusējumi lasa ~ / Library / LaunchAgents / com.java.update ProgramArguments
Kad šī komanda ir pabeigta, nospiediet taustiņu Enter un atzīmējiet faila ceļu, kas ir izvadīts uz Terminal logu.
Kā jūs to izdarījāt iepriekš, atrodiet šo failu meklētājā un izdzēsiet to, bet, ja jūs to nevarat izdarīt, ierakstiet "sudo rm", kam seko viena vieta, un pēc tam kopējiet un ielīmējiet izejas faila ceļu komandā un nospiediet taustiņu Enter.
Lai noņemtu jebkādus slēptos .so failus, kas atrasti agrāk, tos var noņemt, izpildot šādu komandu Terminālā (pārliecinieties, ka kopējat un ielīmējat šo komandu, jo pēdējā komponentā nedrīkst būt nekādu atstarpju, kas satur simbolus un pieturzīmes ):
sudo rm ~ /../ Shared /.*
Kad šis solis ir pabeigts, noņemiet failu ar nosaukumu "com.java.update.plist" (vai "com.adobe.reader.plist", un jums vajadzētu būt labi, lai iet.
UPDATED: 4/5/2012, 10:00 - Pievienots atklātu un noņemtu norādījumu par slēptiem .so failiem, ko izmanto iepriekšējie ļaunprātīgas programmatūras varianti.
Atstājiet Savu Komentāru