• Κυκλοφορεί νεότερη έκδοση malware για το Mac OS X

     
    Δημοσιεύθηκε στις 20-10-2011 19:38
    19 Σχόλια Σχόλια

    Όπως αναφέρει η εταιρία F-Secure, μια νεότερη πιο "τρομακτική" έκδοση ενός malware της μορφής trojan horse κυκλοφορεί για το Mac OS X. Το συγκεκριμένο malware παρουσιάζεται και πάλι ως πρόγραμμα εγκατάστασης του Flash, ενώ όπως είχαμε ενημερώσει τον περασμένο μήνα τους χρήστες, ένα παρόμοιο malware που εμφανιζόταν ως Flash installer, απείλησε τους υπολογιστές Mac. Η νεότερη έκδοση του συγκεκριμένου trojan, θα εγκατασταθεί στο λειτουργικό μόνο εφόσον ο χρήστης ξεγελαστεί και προχωρήσει στην εγκατάσταση του flash installer. Τα άσχημα νέα με το συγκεκριμένο malware, είναι πως αν εγκατασταθεί, θα απενεργοποιήσει την αυτόματες αναβαθμίσεις των malware που περιλαμβάνονται στην ασφάλεια του λειτουργικού.

    Ο τρόπος που ενεργεί ένα trojan horse είναι να ξεγελάσει τον χρήστη, στην συγκεκριμένη περίπτωση μεταμφιεσμένο ως εγκαταστάτης του Flash Player, προκειμένου να αποδεχθεί την εγκατάστασή του. Η προηγούμενη παρόμοια έκδοση του malware, έστελνε πληροφορίες του υπολογιστή σε έναν απομακρυσμένο server. Αν ο χρήστης ξεγελαστεί και εγκαταστήσει το νεότερο malware Trojan-Downloader:OSX/Flashback.C (η εγκατάσταση θα ζητήσει το συνθηματικό του Administrator), αυτό θα προχωρήσει στην διαγραφή των απαραίτητων αρχείων για την προαναφερθείσα λειτουργία ασφαλείας της Apple. Απενεργοποιώντας τα συγκεκριμένα αρχεία, το malware προσπαθεί να βεβαιωθεί ότι ο Mac δεν θα γνωρίζει πλέον για νεότερες αναβαθμίσεις που θα κάνει η Apple για κακόβουλο λογισμικό.

    Η F-Secure προσφέρει οδηγίες αφαίρεσης του trojan horse για την περίπτωση που θεωρείτε ότι έχει προσβληθεί το σύστημά σας. Ρίξτε μια ματιά στην σχετική σελίδα της εταιρίας, αν και οι χρήστες που δεν έχουν εγκαταστήσει πρόσφατα τον Flash Player δεν θα πρέπει να ανησυχούν, όσο εκείνοι που κατέβασαν τον installer από άλλες πηγές εκτός της ιστοσελίδας της Adobe.

    Το άρθρο δημοσιεύθηκε αρχικά ως θέμα στο φόρουμ: Κυκλοφορεί νεότερη έκδοση malware για το Mac OS X από τον MihalisGR Πλοηγηθείτε στο αρχικό θέμα
    Σχόλια 19 Σχόλια
    1. Alex0077's Avatar
      Ποιο πρόγραμμα προτείνετε για προστασία από τέτοια;
    1. MihalisGR's Avatar
      Το πρόγραμμα που προτείνουμε είναι... το μυαλό μας. Όχι στην εγκατάσταση εφαρμογών, utilities κ.α. από ιστοσελίδες που δεν γνωρίζουμε την προέλευσή τους, προμήθεια των εφαρμογών μας μόνο από επιβεβαιωμένες πηγές, προσεχτική πλοήγηση στο διαδίκτυο, δημιουργία λογαριασμού χωρίς administrative δικαιώματα για την καθημερινή χρήση, και δεν χρειάζεται κανένα antivirus. Τουλάχιστον όχι ακόμη.
    1. skiabox's Avatar
      Τσέκαρα τα 2 αρχεία για καλό και για κακό αλλά δε βρήκα τον επικίνδυνο κώδικα μέσα.
    1. spg100's Avatar
      Εάν προς στιγμή τρομάξα γιατι μου βγήκε ο κανονικός adobe flash player για update ευτυχώς είμαι οκ. Τις αλλαγές στο plist του safari δεν τις έχω.


      Sent using Tapatalk
    1. yamalube69's Avatar
      Θέλω βοήθεια για το πώς βρίσκω τα 2 αρχεία για να ελέγξω αν εγκατέστησα τον ιο, γιατί πρίν λίγο έκανα ενα install που μου βγήκε για το flash player και έχω τρομάξει..
    1. chrisv's Avatar
      Ίσως να βοηθούσε η απενεργοποίηση από το system preferences του flash player της επιλογής για αυτόματη αναβάθμιση. Μπορεί ο χρήστης να κάνει την αναβάθμιση κατά το δοκούν, οπού η επιλογή check now μεταφέρει το χρήστη αμέσως στην σχετική σελίδα της adobe.
    1. MihalisGR's Avatar
      Quote Originally Posted by yamalube69 View Post
      Θέλω βοήθεια για το πώς βρίσκω τα 2 αρχεία για να ελέγξω αν εγκατέστησα τον ιο, γιατί πρίν λίγο έκανα ενα install που μου βγήκε για το flash player και έχω τρομάξει..
      Διάβασες τις σχετικές οδηγίες στις οποίες παραπέμπει το άρθρο;
    1. lagoudakis's Avatar
      Quote Originally Posted by chrisv View Post
      Ίσως να βοηθούσε η απενεργοποίηση από το system preferences του flash player της επιλογής για αυτόματη αναβάθμιση. Μπορεί ο χρήστης να κάνει την αναβάθμιση κατά το δοκούν, οπού η επιλογή check now μεταφέρει το χρήστη αμέσως στην σχετική σελίδα της adobe.
      Το καλυτερο αυτο ειναι
    1. Katana's Avatar
      Εγώ διάβασα την σελίδα της F-Secure αλλά δεν κατάλαβα τι ακριβώς πρέπει να ελέγξω. Και εγώ έκανα ένα flash update πριν 1 βδομάδα, λογικά δεν ήταν ο ιος.
    1. MihalisGR's Avatar
      Quote Originally Posted by Katana View Post
      Εγώ διάβασα την σελίδα της F-Secure αλλά δεν κατάλαβα τι ακριβώς πρέπει να ελέγξω. Και εγώ έκανα ένα flash update πριν 1 βδομάδα, λογικά δεν ήταν ο ιος.
      Όπως αναφέρει η F-Secure το trojan προχωράει στην προσθήκη συγκεκριμένων εγγραφών στα Info.plist των Safari και Firefox, προσθέτει αντίγραφα του payload στους φακέλους:
      • /Applications/Safari.app/Contents/Resources/%payload_filename%
      • /Applications/Firefox.app/Contents/Resources/%payload_filename%
      Επιπλέον διαγράφει τα σχετικά αρχεία που αφορούν τις αυτόματες αναβαθμίσεις malware της Apple:
      • /System/Library/LaunchDaemons/com.apple.xprotectupdater.plist
      • /usr/libexec/XProtectUpdater
      Κατά συνέπεια διαβάστε προσεχτικά το κείμενο με τις οδηγίες, κάντε ένα έλεγχο στα παραπάνω κι αν δεν βρείτε κάτι σχετικό, είστε μια χαρά.
    1. 8u88l3's Avatar
      Παιδιά όπως είχα πει και στο θέμα για την προηγούμενη έκδοση του συγκεκριμένου malware, το installation GUI δεν έχει καμία σχέση με το αυθεντικό της Adobe. Αν δείτε την φωτό που μας έχει παραθέσει ο Μιχάλης στο άρθρο είναι όπως αυτο που γίνονται εγκατασταση ορισμένα προγράμματα..πχ το Office, το Toast και άλλα. Όπου αριστερά υπάρχουν τα βήματα της εγκατάστασης και συνήθως σε ρωτάει και που να το εγκαταστήσει. Κοινώς χρησιμοποιεί το installation GUI που χρησιμοποιούν τα προγράμματα που θα μας ζητήσουν στάνταρ κωδικό admin γιατί θα γράψουν αρχεία σε ζωτικά σημεία του συστήματος και συνήθως το συναντάμε στις πιο σοβαρές εφαρμογές...

      Ενώ το αυθεντικό installation του Adobe δεν έχει καμία σχέση με αυτό..Για όσους χρησιμοποιούν και windows είναι ακριβώς το ίδιο GUI (γραφικό περιβάλλον σημαίνει αυτο παρεπιπτώντως..). Για όσους δεν χρησιμοποιούν και δε ξέρουν, αποτελείται απο ενα μικρό παράθυρο (κόκκινο με σκούρο γκρι) και έχει μόνο 2 κουμπιά αν θυμάμαι καλά, install και quit. Σε περίπτωση που κάνουμε install εμφανίζει μια μπλε μπάρα προόδου...

      ---------- Post added at 15:01 ---------- Previous post was at 14:51 ----------



      Περισσότερες φωτός για το πως είναι ο αυθεντικές installer, μπορείτε να δείτε απο το βήμα 6 και κάτω
    1. yamalube69's Avatar
      Quote Originally Posted by MihalisGR View Post
      Διάβασες τις σχετικές οδηγίες στις οποίες παραπέμπει το άρθρο;
      Διάβασα το σχετικό άρθρο της F-Secure αλλά δε μπορώ να παω στις τοποθεσίες που λέει:
      • /Applications/Safari.app/Contents/Resources/%payload_filename%
      • /Applications/Firefox.app/Contents/Resources/%payload_filename%
      καθώς είμαι και σχετικά νέος χρήστης mac. Αλλά με κάλυψε πιστεύω ο χρήστης 8u88l3, καθώς η εγκατάσταση έγινε κανονικά όπως γίνεται πάντα από την abobe.
    1. ikostas_allum's Avatar
      παιδια αυτο ισχυει και για οσους εχουν snow leopard??
    1. madlef's Avatar
      Καλησπέρα σε όλα τα παιδιά του forum! Εχθές έβγαλε την αναβάθμιση για το laptop μου αλλά σε "κανονικό" παράθυρο έτσι κι εγώ την έκανα και.... την πάτησα!! Το laptop άρχισε να σέρνεται κι όταν έκανα επανεκκίνηση δεν μπορούσε να μπει στο λειτουργικό...! Ευτυχώς έκανα από το time machine να πάει μία μέρα πίσω κι όλα καλά τώρα! Βέβαια στο καπάκι μου έβγαλα να κάνω update το flash αλλά πάτησα να μην με ξανά ρωτήση..... Τελικά μήπως είναι καλό να βάλει κανένα antivirus ή ακόμα δεν χρειάζεται.....;
    1. Economou D.'s Avatar
      Νομίζω δεν χρειάζεται. Όπως είπε και ο Μιχάλης παραπάνω, λίγη προσοχή θέλει.

      Επιπλέον, προτείνω να μην κάνετε καν εγκατάσταση τον Flash player και να βάλετε τον Google Chrome όταν το χρειαστείτε, καθώς ο Chrome έχει το δικό του plug-in και δεν χρησιμοποιεί του συστήματος. Έτσι όπως είναι στο MacBook Air δηλαδή.
    1. Alex0077's Avatar
      Quote Originally Posted by MihalisGR View Post
      Επιπλέον διαγράφει τα σχετικά αρχεία που αφορούν τις αυτόματες αναβαθμίσεις malware της Apple:
      • /System/Library/LaunchDaemons/com.apple.xprotectupdater.plist
      • /usr/libexec/XProtectUpdater
      Κατά συνέπεια διαβάστε προσεχτικά το κείμενο με τις οδηγίες, κάντε ένα έλεγχο στα παραπάνω κι αν δεν βρείτε κάτι σχετικό, είστε μια χαρά.
      Δηλαδή αυτά τα αρχεία παραπάνω θα πρέπει να τα έχουμε? Αν δεν τα έχουμε είναι ανησυχιτικό;
    1. alkis's Avatar
      • /System/Library/LaunchDaemons/com.apple.xprotectupdater.plist
      • /usr/libexec/XProtectUpdater
      παιδιά αυτά τα αρχεία δεν τα έχω πήγα στο spotlight έκανα search και τίποταούτε αυτά έχω
      • /Applications/Safari.app/Contents/Resources/%payload_filename%
      • /Applications/Firefox.app/Contents/Resources/%payload_filename%
      Έχω lion βοηθήστε με τι να κάνω?Ευχαριστώ

      ---------- Post added at 04:27 ---------- Previous post was at 04:10 ----------

      έχω ανησυχήσει διότι μου ήρθε ένα μήνυμα να κάνω update(δεν το έκανα)διαβάζω το άρθρο και μετά πηγαίνω στα preferences και βλέπω ότι έχω την τελευταία έκδοση.Μου ζήτησε να κάνω install όταν μπήκα στο maclife.

      ---------- Post added at 04:48 ---------- Previous post was at 04:27 ----------

      /System/Library/LaunchDaemons/com.apple.xprotectupdater.plistαυτό τελικά το έχω το βρήκα μέσω του onyx το αλλο δεν ξέρωεπίσης όταν μπαίνω στο safari μου βγάζει crash protector.
    1. sl_dev's Avatar
      Καλά ρε παιδιά,γιατί τόσο άγχος για ένα malware;Δλδ στα Windows αγχώνεστε κάθε φορά που πετιέται update για ένα πρόγραμμα;Τρία πράγματα είναι,αν τα έχεις τότε το χεις,αν δεν τα έχεις τότε δεν κόλλησες.Α ναι,Καλώς σας βρήκα και συγχαρητήρια για το site.
    1. alkis's Avatar
      ωραία και τότε τι κάνεις?
SUBSCRIBE
FOLLOW
LIKE