Ondrej Holzman Mac računala napada novi zlonamjerni softver koji snima snimke zaslona bez znanja korisnika i potom prenosi datoteke na sumnjive poslužitelje. Virus se skriva ispod aplikacije macs.app. Za sada, međutim, nije jako raširen.
Nova vrsta prijetnje korisnicima Apple računala pronađena je na Macu jednog od sudionika Oslo Freedom Foruma, međunarodne konferencije o ljudskim pravima koju svake godine u Oslu organizira Zaklada za ljudska prava.
Nakon što instalirate macs.app, aplikacija radi u pozadini i tiho snima snimke zaslona. Svaka snimljena slika pohranjuje se u mapu Mac aplikacija u vašem matičnom direktoriju odakle se učitavaju datoteke securitytable.org a docsforum.inf. Nijedna domena nije dostupna.
[do action=”tip”]Provjerite mapu u matičnom direktoriju Mac aplikacija (vidi sliku).[/do]
Macs.app može raditi na vašem Macu jer, za razliku od drugog zlonamjernog softvera, ima dodijeljen funkcionalni Apple Developer ID, što znači da prolazi kroz Gatekeeper zaštitu. Identifikacijski broj pripada izvjesnom Rajenderu Kumaru, a Apple ima mogućnost zamrzavanja njegovih prava, što bi vjerojatno također onemogućilo funkcioniranje virusa. Stoga možemo očekivati ranu intervenciju kalifornijske tvrtke.
Dobro je znati. Ali zašto bih ga, zaboga, instalirao (je li to .app ili instalacijski paket)?
F-secure trenutno istražuje zlonamjerni softver kako bi bolje odredio njegovo podrijetlo, načine instalacije i način na koji radi.
Nisam saznao u kojem obliku se točno skida, ali kad ga imate na računalu, automatski se pokreće kad upalite računalo. Međutim, ne vidim treba li ga instalirati.
Logično, korisnik ju mora pokrenuti, samo je pitanje je li "zapakirana" s nekom aplikacijom, legalnom ili crackiranom, ili stigne e-mail tipa "Nude pictures of , run me now" pa je korisnik pokrene.
Budući da izgleda primitivno (može se vrlo lako pisati u AppleScriptu) i budući da piše u korisničku mapu, ne bi trebala čak ni trebati administratorska lozinka, ali samo sudeći po slici i informacijama u članku, mozda drugacije :)
Ako se pokrene nakon pokretanja, onda bih rekao da mora dovršiti instalaciju (čak i demona ili same aplikacije). U svakom slučaju, kako piše DJManas, zapisuje to u mapu korisnika upravo zato da nema potrebe za lozinkom. Ne razumijem zašto to piše u "MacApp", a ne u ".MacApp" - na taj način nitko tko nema vidljive skrivene datoteke (dakle 90% ljudi) ne bi primijetio.
Ono što vidim kao veći problem je to što je netko koristio vlastiti Developer ID da bi prošao GateKeeper - ovdje Apple mora vrlo brzo reagirati i zauvijek banovati te pojedince. Možda bih to mogao vidjeti na nekoj funkciji "prijavi kao neželjenu poštu/virus", skrivenu negdje duboko, tako da bi se Apple trebao odmah početi baviti time kad god primi više od 1 takve obavijesti o aplikaciji.
Priznajem da nemam svoj službeni developer ID, ali mislim da je dovoljno postaviti e-mail, platiti članstvo, čak i 900,- godišnje, i korisnik je "živ" i može igrati ( ako ga ne stavi izravno u AppStore), što može donijeti zadovoljstvo, ali ne znam točno kako radi, neka me netko ispravi.
S druge strane, korisnici mogu imati isključen GateKeeper jer instaliraju stvari s weba, a priznajem da sam ga i ja isključio jer mi nije dao instalirati aplikaciju koju inače koristim, pretpostavljam da je OnyX tada (svježe instaliran 10.8) i nije detektirao Pitam se jesu li već službeni programeri i mogu li to uključiti…
Također sam ga onemogućio svojoj ženi dok sam razvio nekoliko "aplikacija/skripti/widgeta" koje koristimo samo ona i ja, a ona mi nije dopuštala da to instaliram na njezin OSX…
Preporučam da uključite Gatekeeper i ako želite instalirati aplikaciju koja nije potpisana, samo desnom tipkom miša kliknite na paket/aplikaciju i kliknite Otvori. Tada postoji mogućnost zaobilaženja Gatekeepera za ovaj slučaj. Ja to radim sam i čini mi se sigurnije - mogu instalirati i nepotpisane aplikacije, ali Gatekeeper pazi na sve ostalo.
Hvala, nisam ovo znao