Фальшивый Flash Player взламывает Mac OS // 07 Ноября 2012

Исследователи Интернет-угроз из компании Secure обнаружили новое вредоносное приложение, поражающее компьютеры Apple. Троян, маскирующийся под инсталлятор Adobe Flash Player, просит пользователя ввести пароль администратора, после чего отключает встроенный в операционную систему Mac OS модуль защиты XProtect.

Программа под названием Trojan-Downloader:OSX/Flashback.C представляет собой очередную, третью по счету разновидность «трояна», впервые обнаруженного в сентябре этого года. Новая версия слегка отличается от предыдущих. Главной мишенью трояна теперь является система защиты Apple XProtect. Flashback.C удаляет антивирусный сканер XProtect и отключает автоматическую загрузку обновлений, тем самым делая клиентский компьютер уязвимым для последующих атак.

Как объясняют специалисты, вредоносное ПО маскируется под инсталлятор Adobe Flash Player. Введенный в заблуждение пользователь самостоятельно устанавливает троян на свой компьютер, то есть запускает исполняемый файл и указывает пароль администратора, после чего приложение вносит изменения в работу механизмов, отвечающих за обновление системы защиты.

Новый троян, как и большинство программ подобного рода, чаще всего распространяется через хакерские веб-сайты и файлообменные сети. Таким образом, для минимизации риска пользователю достаточно избегать посещения неблагонадежных ресурсов и загружать необходимые программы только с сайта производители и других проверенных источников.

Стоит отметить, что все известные варианты Flashback не способны поразить компьютер, на котором установлено приложение Little Snitch. Этот межсетевой экран осуществляет мониторинг исходящего трафика и предупреждает пользователя о попытке установления связи с каким-либо Интернет-сервисом. Little Snitch автоматически блокирует работу вредоносной программы и не допускает ее установки.

Эксперты в области информационной безопасности уверяют, что на данный момент им не известен ни один случай использования Flashback для причинения ущерба. Вероятность заражения также относительно невысока. Впрочем, если вы предполагаете что один из ваших «маков» был инфицирован, достаточно выполнить элементарную проверку системы и ввести в консоль Terminal следующие команды (defaults read /Applications/Safari.app/Contents/Info.plist LSEnvironment и defaults read /Applications/Firefox.app/Contents/Info.plist LSEnvironment).

Если система была скомпрометирована, в ответ на команды на дисплей будет выведена строка «DYLD_INSERT_LIBRARIES» с указанием пути к конкретному файлу. Самым простым способом ликвидации угрозы является удаление программы, содержащей опасный довесок.

По материалам сайта CNet.