Ondrej Holzman Računalnike Mac napada nova zlonamerna programska oprema, ki dela posnetke zaslona brez vednosti uporabnika in nato nalaga datoteke na dvomljive strežnike. Virus se skriva pod aplikacijo macs.app. Za zdaj pa še ni zelo razširjena.
Na Macu enega od udeležencev Oslo Freedom Foruma, mednarodne konference o človekovih pravicah, ki jo vsako leto v Oslu organizira Fundacija za človekove pravice, so našli novo vrsto grožnje uporabnikom računalnikov Apple.
Ko namestite macs.app, se aplikacija izvaja v ozadju in tiho posname posnetke zaslona. Vsaka zajeta slika je shranjena v mapi Aplikacija Mac v domačem imeniku, od koder so naložene datoteke securitytable.org a docsforum.inf. Nobena domena ni na voljo.
[do action=”tip”]Preverite, ali je v domačem imeniku mapa Aplikacija Mac (glej sliko).[/do]
Macs.app lahko deluje na vašem Macu, ker ima za razliko od druge zlonamerne programske opreme dodeljen delujoč Apple Developer ID, kar pomeni, da preskoči zaščito Gatekeeperja. Identifikacijska številka pripada nekemu Rajenderju Kumarju, Apple pa ima možnost zamrzniti njegove pravice, kar bi verjetno tudi onemogočilo delovanje virusa. Tako lahko pričakujemo zgodnjo intervencijo kalifornijskega podjetja.
Dobro je vedeti. Toda zakaj za vraga bi ga namestil (ali je .app ali namestitveni paket)?
F-secure trenutno preiskuje zlonamerno programsko opremo, da bi bolje ugotovil njen izvor, načine namestitve in način delovanja.
Nisem izvedel, v kakšni obliki se natanko prenaša, ampak ko ga imaš na računalniku, se samodejno zažene, ko zaženeš računalnik. Vendar ne vidim, ali ga je treba namestiti.
Logično, da jo mora uporabnik zagnati, vprašanje je le, ali je "zapakirana" s kakšno aplikacijo, legalno ali zlomljeno, ali pa pride e-poštno sporočilo tipa "Nude pictures of , run me now" in jo uporabnik zažene.
Ker je videti primitiven (zelo preprosto se ga da napisati v AppleScript) in ker piše v mapo uporabnika, ne bi smel niti skrbniškega gesla rabiti, a sodim samo po sliki in informacijah v članku, lahko drugače :)
Če se zažene po zagonu, bi rekel, da mora dokončati namestitev (tudi demona ali same aplikacije). Kakorkoli, kot piše DJManas, si ga zapiše v mapo uporabnika ravno zato, da ni treba gesla. Ne razumem, zakaj piše v "MacApp" in ne v ".MacApp" - tako nihče, ki nima vidnih skritih datotek (torej 90% ljudi), ne bi opazil.
Večji problem vidim v tem, da je nekdo uporabil lastno ID razvijalca, da bi prišel mimo GateKeeperja – tukaj mora Apple zelo hitro reagirati in te posameznike za vedno izključiti. Mogoče bi ga lahko videl na kakšni funkciji "prijavi kot neželeno pošto/virus", skrito nekje globoko, tako da bi ga moral Apple takoj začeti obravnavati, ko prejme več kot 1 takšno obvestilo o aplikaciji.
Priznam, da nimam svojega uradnega ID-ja razvijalca, a mislim, da je dovolj, da nastavim e-pošto, plačam članstvo, tudi 900,- na leto, in uporabnik je "v živo" in lahko igra ( če ga ne da neposredno v AppStore), kar lahko prinese zadovoljstvo, vendar ne vem točno, kako deluje, naj me nekdo popravi.
Po drugi strani imajo lahko uporabniki GateKeeper izklopljen, ker nameščajo stvari iz spleta, in priznam, da sem ga tudi jaz izklopil, ker mi ni dovolil namestiti aplikacije, ki jo običajno uporabljam, predvidevam, da je bil OnyX takrat (na novo nameščen 10.8) in ni zaznal. Zanima me, ali so že uradni razvijalci in ga lahko vklopim ...
Onemogočil sem ga tudi svoji ženi, ko sem razvil nekaj "aplikacij/skriptov/pripomočkov", ki jih uporabljava samo ona in jaz, ona pa mi ni dovolila, da bi jih namestil na njen OSX ...
Priporočam, da vklopite Gatekeeper in če želite namestiti aplikacijo, ki ni podpisana, samo z desno miškino tipko kliknite paket/aplikacijo in kliknite Odpri. V tem primeru obstaja možnost, da Gatekeeper obidete. To delam sam in se mi zdi bolj varno - lahko nameščam tudi nepodpisane aplikacije, Gatekeeper pa pazi na vse ostalo.
Hvala, tega nisem vedel