• Intego: Προειδοποίηση για νέο Malware για το Mac OS X

    Χθες η γνωστή εταιρία λογισμικού ασφαλείας Intego, προειδοποίησε τους χρήστες Mac για την ύπαρξη ενός καινούργιου Trojan horse που εμφανίζεται ως πακέτο εγκατάστασης του Flash Player για το OS X Lion. Η Intego αναφέρει πως το Flashback malware βρίσκεται σε ορισμένες ιστοσελίδες που προσφέρουν έναν σύνδεσμο ή εικονίδιο για την εγκατάσταση του Flash Player. Οι χρήστες του Lion ενδέχεται να ξεγελαστούν με την συγκεκριμένη απάτη, αφού το λειτουργικό δεν περιλαμβάνει αυτόματα την έκδοση του Flash. Στην περίπτωση που οι χρήστες κάνουν κλικ στον προβληματικό σύνδεσμο στο Safari (τρέχοντας παράλληλα τον Mac OS X Installer), το malware απενεργοποιεί κάποιον κώδικα ασφαλείας δικτύου, και μετά διαγράφει το αρχικό πακέτο εγκατάστασης του.

    Έπειτα το malware αφού εγκαταστήσει μια dyld βιβλιοθήκη που του επιτρέπει να εισάγει κώδικα στις εφαρμογές που τρέχει ο χρήστης, στέλνει πληροφορίες από τον Mac που έχει εγκατασταθεί σε έναν απομακρυσμένο server, στις οποίες περιλαμβάνεται και η μοναδική διεύθυνση του υπολογιστή MAC και επιτρέπει στο malware να δει αν ο συγκεκριμένος υπολογιστής έχει προσβληθεί. Προς το παρόν η Intego ερευνά τους σκοπούς του συγκεκριμένου malware, με την ονομασία Flashback.

    Η χθεσινή ανακοίνωση της Intego είναι η δεύτερη μέσα σε μία εβδομάδα για malware στο Mac OS, αφού την Παρασκευή η εταιρία F-Secure προειδοποίησε για το Trojan-Dropper:OSX/Revir.A, το οποίο εμφανίζεται ως κινεζικής γλώσσας PDF, και με το άνοιγμά του δημιουργείται μια backdoor που επικοινωνεί με απομακρυσμένο server.

    Οι χρήστες έχουν στην διάθεσή τους διάφορους τρόπους, προκειμένου να προστατευτούν από τέτοιου είδους απειλές. Ένας τρόπος είναι η απενεργοποίηση της επιλογής "Open Safe Files After Downloading", στην καρτέλα General από τις ρυθμίσεις της εφαρμογής, καθώς και η δημιουργία ανεξάρτητου λογαριασμού χρήστη, χωρίς δικαιώματα administration και φυσικά προσεκτική εγκατάσταση από την πλευρά των χρηστών εφαρμογών, plugins, utilites κ.ο.κ. μόνο από έγκυρες και επιβεβαιωμένες πηγές στο διαδίκτυο.

    Η Apple προσπαθεί να διατηρεί αυτόματα ενημερωμένη την λίστα των malware απειλών για το OS X, οπότε παράλληλα φροντίστε να λαμβάνετε τις τελευταίες ενημερώσεις, επιλέγοντας την ρύθμιση "Automatically update safe downloads list", στις ρυθμίσεις Security & Privacy του συστήματος.

    Το άρθρο δημοσιεύθηκε αρχικά ως θέμα στο φόρουμ: Intego: Προειδοποίηση για νέο Malware για το Mac OS X από τον MihalisGR Πλοηγηθείτε στο αρχικό θέμα
    Σχόλια 29 Σχόλια
    1. lagoudakis's Avatar
      παιδια την πατησα;μου εβγαλε πριν λιγο οτι υπαρχει νεα εκδοση του flash σε μια ιστιοσελιδα και το ετρεξα ο ηλιθιος!!!βλεπω τωρα οτι η εκδοση ειναι 10.3.183.10 τι κανω τωρα;
    1. Topqua's Avatar
      Μου το εβγαλε κ μενα αυτο το μνμ αλλα δε νομιζω πως ειναι το malware που αναφερεται πιο πανω γιατι εγω δεν εχω Lion κ επισης δε κλικαρα καποιο συνδεσμο απλα μου εμφανιστηκε ο installer του Flash. Δε το εκανα εγκατασταση απο τον installer που μου εμφανισε κ μπηκα στο site της Adobe κ πραγματι η τελευταια εκδοση του Flash ειναι αυτη που αναφερεις lagoudakis, η Adobe Flash Player version 10.3.183.10 Universal Binary for Macs | 6.07 MB
    1. lagoudakis's Avatar
      λες;απλα μπηκα σε ενα site και μου εμφανιστηκε ο installer του Flash,δεν θυμαμε αν πατησα εκει που εχει με γκρι το ονομα flash,εγω ο ηλιθιος εκανα απο τον instaler που εβγαλε και οχι απο το site της adobe!!!λες να την εχω πατησει;
    1. jackc's Avatar
      Κι εγώ έκανα ένα update σε Flash που μου βγήκε το πρωί, αλλά δε θυμάμαι λεπτομέρειες διότι είμαι στο γραφείο τώρα. Δεν ξέρω αν ήταν πραγματικό update ή malware.

      Θα τρέξω ένα VirusBarrier Plus για να δω το παίζει, ελπίζοντας ότι το καλύπτει το συγκεκριμένο malware. Αλλιώς τι άλλες επιλογές έχουμε;

      ---------- Post added at 18:31 ---------- Previous post was at 18:24 ----------

      Μόλις τώρα είδα εδώ, ότι το VirusBarrier (με updated definitions, εννοειται), πιάνει το συγκεκριμένο malware. Αντιγραφω:VirusBarrier X6 protects users from this malware with malware definitions dated September 26, 2011 or later. VirusBarrier X6's real-time scanner will detect the file when it is downloaded, and its Anti-Spyware protection will block any connections to remote servers if a user has installed the Trojan horse. VirusBarrier Express and VirusBarrier Plus, available exclusively from the Mac App Store, detect this malware with malware definitions dated September 26, 2011 or later, but these programs do not have a real-time scanner, due to limitations imposed by the Mac App Store; users should scan their Macs after they have updated to the latest malware definitions, or manually scan any installer packages they have downloaded if they seem suspicious.Συνεπώς, η πρώτη κίνηση μόλις πάω σπίτι είναι να τρέξω το VirusBarrier...
    1. Sot's Avatar
      κι εγώ νομίζω ότι την έκανα την πατατιά να τρέξω ένα τέτοιο update ...
      Και τώρα τι κάνουμε? Πως μπορούμε να δούμε αν την έχουμε πατήσει?
    1. MihalisGR's Avatar
      Πηγαίνετε ~/Library/Preferences/Preferences.dylib για να δείτε αν έχετε το συγκεκριμένο αρχείο. Οπου ~ είναι ο home folder σας. Αν το έχετε τότε έχετε προσβληθεί από το malware.
    1. Sot's Avatar
      Οχι δεν υπάρχει τέτοιο αρχείο .... Ευχαριστώ Μιχάλη για τη βοήθεια
    1. lagoudakis's Avatar
      dylib ,ετσι ειναι η ονομασια του;σκετα;
    1. MihalisGR's Avatar
      Quote Originally Posted by lagoudakis View Post
      dylib ,ετσι ειναι η ονομασια του;σκετα;
      Preferences.dylib
    1. lagoudakis's Avatar
      thanks μιχαλη,απο οτι βλεπω δεν το εχω,οποτε ειμαι καλα,και η πλακα ειναι οτι ειχα δει το ποστ σου για το θεμα...μιλαμε ειμαι οτι ναναι
    1. jackc's Avatar
      Προσωπικά έτρεξα το Find Any File, και δεν μου βρήκε το ύποπτο αρχείο. Για να είμαι 100% σίγουρος όμως, έτρεξα και το VirusBarrier Plus, το οποίο επίσης πιστοποίησε την... καθαρότητα μου!Με κίνδυνο να γίνω πάντως κουραστικός, θα χρησιμοποιήσω το συμβάν με τον Flashback για να επαναλάβω την άποψη μου που έχω εκφέρει και σε άλλα νήματα: Παρόλο που δεν υπάρχει αμφιβολία ότι ο κίνδυνος μόλυνσης από malware σε ένα Mac είναι απειροελάχιστος σήμερα, δεν παύει να είναι υπαρκτός. Ακόμα χειρότερα, οι πιθανότητες να πολλαπλασιατούν οι ιοί για Mac στο μέλλον είναι σημαντικές, καθώς όσο το Mac OS γίνεται πιο διαδομένο, τόσο αυξάνεται η όρεξη των επίδοξων hacker για να του βρουν τρωτά σημεία...Για μένα το ιδεώδες είναι να έχει κανείς εγκατεστημένο ένα antivirus πρόγραμμα, χωρίς όμως να έχει ενεργοποιημένο το real-time protectiion που σπαταλάει πόρους του συστήματος. Κάνοντας μια στις τόσες ένα απλό scan, έχεις το κεφάλι σου ήσυχο χωρίς να επιβαρύνεις καθόλου τον υπολογιστή σου...
    1. MihalisGR's Avatar
      Παίδες προσέχετε τι εγκαθιστάτε στον υπολογιστή σας και μην κάνετε κλικ έτσι απλά με ελαφρά την καρδία. Κανένα λειτουργικό δεν είναι άτρωτο και επειδή για να εγκαταστήσουμε κάτι στο Mac OS X θα πρέπει να το έχουμε επιλέξει εμείς να το κάνει, δεν υπάρχει δικαιολογία. Πρέπει οι εγκαταστάσεις μας να είναι προσεχτικές και να γίνονται σε χρόνο που πραγματικά έχουμε τον χρόνο και την όρεξη να ασχοληθούμε, ώστε να είμαστε 100% σίγουροι ότι προέρχονται από αξιόπιστη πηγή.
    1. lagoudakis's Avatar
      σωστα...πιστευω και εγω οτι με την διαδοση του Mac OS X θα αρχισουμε να εχουμε και εμεις προβληματακια,οποτε προσοχη οπως λεει και ο φιλος μου ο Μιχαλης
    1. jackc's Avatar
      Επιπλέον, εκτός από το antivirus και την προσοχή στο τι εγκαθιστούμε στο Mac μας, ένα ακόμα καλό μέτρο προφύλαξης είναι και η συχνή επίσκεψη στο... MacLife! Η ενημέρωση για το Flashback ήταν πραγματικά πολύ άμεση και γρήγορη, και ευχαριστώ πολύ τον Μιχάλη για αυτό. Μπορεί τελικά να αποδείχτηκε ότι ο υπολογιστής μου δεν είχε προσβληθεί όπως φοβόμουν, αλλά θα μπορούσα να είχα μπει σε περιπέτειες αν όντως είχα χτυπηθεί από τον Flashback και δεν το είχα αντιληφθεί...
    1. lagoudakis's Avatar
      εγω που ειμαι αδικαιολογητος;διαβαζω στις 11 το ποστ και με το που γυριζω σπιτι τρεχω το flash σαν να μην τρεχει τιποτα
    1. Illuvatar1981's Avatar
      Καλησπέρα παιδιά. Μόλις είδα το post. Πάλι καλά που μπήκα στο Forum σήμερα (αρκετό τρέξιμο 0 ελεύθερος χρόνος!). Ευτυχώς δεν έκανα καμία τέτοια πατατιά! Μιχάλη 1000+ ευχαριστώ!
    1. lagoudakis's Avatar
      Να ρωτησω και κατι ασχετο;ο installer του flash player οταν βγαινει νεα εκδοση βγαινει ξαφνικα στην οθονη οταν εισαι σε καποιο site;
    1. MihalisGR's Avatar
      Απ' όσο θυμάμαι όχι. Αν έχεις επιλέξει στις ρυθμίσεις για αυτόματο update, θα εμφανιστεί είτε τρέχεις Safari είτε όχι.Τα νεότερα με το συγκεκριμένο malware είναι πως αρκετοί χρήστες φαίνεται να την έχουν πατήσει. Οσο αφορά τι κάνει, η Intego αναφέρει πως ο κώδικας είναι αρκετά περίπλοκος. Κατ' αρχή εγκαθιστά ένα backdoor στον φάκελο ~/Library/Preferences/Preferences.dylib, και επικοινωνεί με έναν απομακρυσμένο server, στέλνοντας και λαμβάνοντας δεδομένα σε κωδικοποίηση RC4. Η backdoor χρησιμοποιεί τον μοναδικό αριθμό UUID του μηχανήματος ως user agent, προκειμένου να αναγνωρίσει συγκεκριμένους υπολογιστές. Στέλνει επίσης πληροφορίες για τον συγκεκριμένο Mac που έχει προσβληθεί, όπως την έκδοση του Mac OS X, την αρχιτεκτονική του μηχανήματος (Intel ή PowerPC) κ.α.

      Επιπλέον η backdoor έχει την δυνατότητα να κατεβάσει επιπλέον λογισμικό, αλλά για την ώρα η Intego αναφέρει πως δεν έχει παρατηρήσει κάτι τέτοιο. Επιπλέον έχει την δυνατότητα αυτόματης αναβάθμισής του.Επίσης δημοσιεύθηκε κι ένα σχετικό screenshot, πως περίπου μοιάζουν οι σελίδες που σερβίρουν το malware.

    1. malias4's Avatar
      Ki εμενα μου βγαλε ο flash update εκει που σερφαρα με το firefox αλλα πατησα cancel ασχετα αν το εχω αυτοματα στο να ψαχνει για update
      Και μετα πηγα στην επισημη σελιδα του adobe flash player και εκανα την αναβαυμιση μονος μου, πιστευω καλυτερα ετσι !!
    1. lagoudakis's Avatar
      εμενα μου ανοιξε ενα παραθυρο για εγκατασταση της νεας εκδοσης,να ρωτησω κατι;ο πινακας βγαινει και σε αυτους που εχουν εγκαταστησει τον flash player η μονο σε αυτους που δεν τον εχουν;αμα τον φακελο ~/Library/Preferences/Preferences.dylib δεν τον εχω ειμαι οκ 100% ;