Mac Flashback malware: Co to je a jak se ho zbavit (FAQ)

Platforma Apple Mac je již dlouho podporována jako bezpečnější než konkurence, ale vzhledem k tomu, že prodej Maců a podíl na trhu rostou, je to větší cíl.

Nikde není to jasnější než s Flashback Trojanem, což je malý malware určený k tomu, aby ukrást osobní informace maskováním jako velmi běžné prohlížeče plug-inů. Včera ruská antivirová společnost Dr. Web uvedla, že odhaduje, že v důsledku neúmyslné instalace softwaru je nyní nakaženo 600 000 počítačů Mac.

Takže zde je rychlý FAQ na Flashback Trojan, včetně informací o tom, co je, jak zjistit, zda máte, a kroky, které můžete podniknout, abyste se ho zbavili.

Co přesně je Flashback?

Flashback je forma škodlivého softwaru určená k tomu, aby chytla hesla a další informace od uživatelů prostřednictvím svého webového prohlížeče a dalších aplikací, jako je Skype. Uživatel je obvykle při pokusu o návštěvu škodlivého webu chybně považuje za legitimní zásuvný modul prohlížeče. V tomto okamžiku software nainstaluje kód určený k shromažďování osobních údajů a jejich odeslání zpět na vzdálené servery. Ve svých nejnovějších inkarnacích se software může nainstalovat bez interakce uživatele.

Kdy se poprvé objevil?

Flashback, jak to víme, se nyní objevil už koncem září loňského roku a předstíral, že je instalátorem pro Adobe Flash, což je široce používaný plug-in pro streamování video a interaktivních aplikací, které už Apple na svých počítačích nepřenáší. Malware se vyvíjel tak, aby se zaměřil na runtime Java v systému OS X, kde uživatelé, kteří navštěvují škodlivé weby, by pak byli vyzváni k jejich instalaci na svém počítači za účelem zobrazení obsahu webu. Pokročilější verze by se tiše instalovaly na pozadí bez nutnosti hesla.

Jak to napadlo tolik počítačů?

Jednoduchá odpověď je, že software byl navržen tak, aby dělal přesně to. Ve svém počátečním inkarnaci vypadal malware velmi podobný instalačnímu programu Adobe Flash. Nepomohlo tomu, že společnost Apple na svých počítačích neposkytla Flash více než rok, což pravděpodobně vytváří skupinu uživatelů, u kterých je pravděpodobnější, že spustí instalační program, aby mohli prohlížet populární webové servery běžící na platformě Flash. Ve svých novějších variantách souvisejících s aplikací Java by se software mohl nainstalovat bez toho, aby uživatel musel kliknout na cokoliv nebo mu poskytnout heslo.

Co také nepomohlo, je způsob, jakým se Apple zabývá Java. Namísto pouhého použití aktuálního veřejného propuštění společnosti společnost vytváří a udržuje vlastní verze. Jak se ukázalo, spisovatelé malwaru využili jednu zranitelnost, kterou Oracle opravil v únoru. Apple se do dubna neobtěžoval, aby opravil svou vlastní verzi Java.

Co udělal Apple s tím?

Apple má svůj vlastní malware skener zabudovaný do OS X nazvaný XProtect. Od spuštění programu Flashback byl bezpečnostní nástroj dvakrát aktualizován, aby se zjistil a ochránil několik variant Flashback.

Novější verze škodlivého softwaru však získala XProtect spuštěním svých souborů prostřednictvím Java. Společnost Apple uzavřela dne 3. dubna hlavní vstupní bod malwaru s aktualizací Java a od té doby vydala nástroj pro odstranění v rámci následné aktualizace Java.

Je třeba poznamenat, že opravy zabezpečení Java jsou dostupné pouze v systému Mac OS X 10.6.8 a novějších, takže pokud používáte operační systém OS X 10.5 nebo starší, budete stále zranitelní. Společnost Apple přerušila dodávání aktualizací softwaru pro tyto operační systémy.

Jak mohu říct, jestli to mám?

Právě teď nejsnazší způsob, jak zjistit, zda byl počítač napaden, je odjet do bezpečnostní firmy F-Secure a stáhněte si jeho software pro detekci a odstranění přehrávače Flashback. Postupujte podle pokynů k získání a používání. Bezpečnostní společnost Symantec nabízí vlastní, samostatný nástroj značky Norton, který můžete získat zde.

Můžete také spustit trio příkazů v Terminálu, část softwaru najdete ve složce Utilities ve složce aplikace Mac. Chcete-li ji najít bez kopání, stačí vyhledat Spotlight pro "Terminál".

Jakmile tam, zkopírujte a vložte každý z kódových řetězců níže do okna terminálu. Příkaz se spustí automaticky:

výchozí hodnoty čtení /Applications/Safari.app/Contents/Info LSEnvironment

výchozí hodnoty číst /Applications/Firefox.app/Contents/Info LSEnvironment

výchozí hodnoty ~ / .MacOSX / prostředí DYLD_INSERT_LIBRARIES

Je-li váš systém čistý, příkazy vám oznámí, že tyto domény / výchozí páry "neexistují". Pokud jste nakaženi, vypliví se záplatou tam, kde se tento malware sám nainstaloval do vašeho systému.

Uh, mám to. Jak jej mohu odstranit?

Pomocí jednoho z výše uvedených nástrojů F-Secure nebo Norton se automaticky zbavíte škodlivého softwaru z počítače bez dalších kroků. Pokud jste z nějakého důvodu opatrní při používání jednoho z těchto nástrojů třetích stran, Topher Kessler společnosti CNET poskytuje podrobné pokyny pro odstranění přehrávače Flashback z počítače Mac. Tento proces také vyžaduje přeskočení do terminálu a spouštění těchto příkazů, sledování tam, kde jsou uložené infikované soubory, a pak je ručně odstranit.

Pro správnou míru je také dobré změnit vaše hesla online ve finančních institucích a dalších zabezpečených službách, které jste mohli používat, když byl počítač napaden. Není jasné, zda byly tyto údaje cílené, zaznamenány a odesílány jako součást útoku, ale je to chytré preventivní chování, které stojí za to dělat pravidelně.

Příbuzné příběhy

  • Odstraňovač malwaru Flashback společnosti Apple nyní žije
  • Flashback největší hrozbu malwaru Mac dosud, odborníci říkají
  • Více než 600 000 počítačů Mac infikovaných botnetem Flashback
  • Aktualizace jazyka Java pro záplaty OS X Využijte malware pro převrácení malwaru
  • ZDNet: Nová epidemie malwaru Mac využívá slabé stránky v ekosystému Apple

Takže teď jsou tu opravy, jsem v bezpečí?

Jedním slovem, ne. Autoři systému Flashback se již ukázali jako náchylní k tomu, že budou stále měnit škodlivý software, aby se vyhnuli novým bezpečnostním opravám.

Cílem společnosti CNET je především stáhnout veškerý software pouze z důvěryhodných zdrojů. To zahrnuje místa známých a důvěryhodných tvůrců softwaru, stejně jako zabezpečené úložiště, jako je CNET's Download.com. Stejně jako další pravidlo, je vhodné udržovat doplňky třetích stran co nejaktuálnější, aby zůstaly aktuální s jakýmikoli aktualizacemi zabezpečení. Pokud chcete zůstat ještě bezpečnější, zůstaňte mimo Java a další doplňky systému, pokud nejsou potřebné důvěryhodným softwarem nebo webovou službou.

CNET blogger Topher Kessler a hlavní editor CNET Seth Rosenblatt přispěli k této zprávě.

Aktualizováno v 13:40 PT dne 5. dubna s aktualizovanými pokyny k odstranění. Aktualizováno 6. dubna v 7:44 hodin PT s informacemi o druhé aktualizaci od společnosti Apple a v 15:55 PT s informacemi o nástroji pro detekci založeném na webu společnosti Dr. Web. Aktualizováno 9. dubna v 12:30 hod. PT s nezávislým potvrzením, že formulář Dr. Web je bezpečný pro uživatele. Aktualizováno opět v 16 hodin PT 12. dubna, aby si uvědomil vydání a detaily vlastního nástroje pro odstranění společnosti Apple.

 

Zanechte Svůj Komentář