DiamondGlove
Member
DrWeb нашел первый настоящий троян для "маков"
По сообщению разработчика антивирусных продуктов "Доктора Веб", им обнаружена новая модификация троянской программы для компьютеров Apple. В отличие от прочих вредоносных программ для "макинтошей", при заражении компьютера она не требует ввода системного пароля.
Это первая в истории "настоящая" вредоносная программа для "макинтошей", которая в отличие от ранее известных троянов, заражающих компьютеры Apple, не требует при своем проникновении в систему исполнения пользователем каких-либо действий.
Стоит напомнить, что до сих пор трояны для операционной системы OS X (ранее известной как Mac OS X), получившие особенно широкое распространение в 2011 г., имели характерную особенность. Поскольку все они распространялись, маскируясь под установочные файлы, для их внедрения в систему пользователь должен был ввести пароль администратора, что существенно снижало риск заражения.
В отличие от ранее известных троянов для OS X, для новой версии BackDoor.Flashback его разработчики применили распространение через уязвимость в виртуальной машине Java, имеющую кодовое название CVE-2011-3544.
По сообщению "Доктор Веб", заражение OS X происходит при посещении инфицированных сайтов. Вредоносный код, которым заражена веб-страница проверяет компьютер, с которого сделан запрос, и, узнав систему OS X, загружает на компьютер несколько java-приложений.
Разработчики Dr.Web отмечают, что при этом "сама страница демонстрирует в окне браузера надпись "Loading.... Please wait…".
Загруженные Java-приложения, в свою очередь заражают систему основным модулем троянской программы BackDoor.Flashback.26, которая, как пояснил представитель "Доктора Веб" Кирилл Леонов, служит для накрутки отдельных сайтов в поисковых запросах.
Интересно, что по наблюдениям эеспертов "Доктора Веб", прежде чем загрузить троян, Java-приложения проверяют систему на наличие в ней пакета разработчика X Code, и, обнаружив его, самоудаляются.
По словам того же Кирилла Леонова, эта избирательность может быть вызвана тем, что авторы трояна не хотели, чтобы профессиональные разработчики и опытные пользователи смогли самостоятельно выявить угрозу и распространить информацию о ней.
Ведущий антивирусный эксперт "Лаборатории Касперского" Виталий Камлюк замечает, что этот вредоносный код известен его компании под именем Trojan-Downloader.OSX.Flashfake.i Кроме него известно еще 8 других модификаций вредоносной программы Flashfake.
Впервые она появилась в сентябре 2011, и с тех пор регулярно обновляется, говорит Камлюк. При атаке системы пользователя злоумышленники используют сразу несколько методов проникновения - это старый Java-эксплойт CVE-2008-5353, который входит в коллекцию Metasploit Framework; более новый Java-эксплойт CVE-2011-3544 и просто апплет с недействительной подписью от имени Apple Inc.
По словам Виталия Камлюка, "выдать присутствие этого трояна в системе может установленная программа LittleSnitch для OS X (простой фаервол для OS X), и поэтому, злоумышленики не заражают системы где установлены программы LittleSnitch и Xcode".
Стоит напомнить, что до сих пор трояны для операционной системы OS X (ранее известной как Mac OS X), получившие особенно широкое распространение в 2011 г., имели характерную особенность. Поскольку все они распространялись, маскируясь под установочные файлы, для их внедрения в систему пользователь должен был ввести пароль администратора, что существенно снижало риск заражения.
В отличие от ранее известных троянов для OS X, для новой версии BackDoor.Flashback его разработчики применили распространение через уязвимость в виртуальной машине Java, имеющую кодовое название CVE-2011-3544.
По сообщению "Доктор Веб", заражение OS X происходит при посещении инфицированных сайтов. Вредоносный код, которым заражена веб-страница проверяет компьютер, с которого сделан запрос, и, узнав систему OS X, загружает на компьютер несколько java-приложений.
Разработчики Dr.Web отмечают, что при этом "сама страница демонстрирует в окне браузера надпись "Loading.... Please wait…".
Загруженные Java-приложения, в свою очередь заражают систему основным модулем троянской программы BackDoor.Flashback.26, которая, как пояснил представитель "Доктора Веб" Кирилл Леонов, служит для накрутки отдельных сайтов в поисковых запросах.
Интересно, что по наблюдениям эеспертов "Доктора Веб", прежде чем загрузить троян, Java-приложения проверяют систему на наличие в ней пакета разработчика X Code, и, обнаружив его, самоудаляются.
По словам того же Кирилла Леонова, эта избирательность может быть вызвана тем, что авторы трояна не хотели, чтобы профессиональные разработчики и опытные пользователи смогли самостоятельно выявить угрозу и распространить информацию о ней.
Ведущий антивирусный эксперт "Лаборатории Касперского" Виталий Камлюк замечает, что этот вредоносный код известен его компании под именем Trojan-Downloader.OSX.Flashfake.i Кроме него известно еще 8 других модификаций вредоносной программы Flashfake.
Впервые она появилась в сентябре 2011, и с тех пор регулярно обновляется, говорит Камлюк. При атаке системы пользователя злоумышленники используют сразу несколько методов проникновения - это старый Java-эксплойт CVE-2008-5353, который входит в коллекцию Metasploit Framework; более новый Java-эксплойт CVE-2011-3544 и просто апплет с недействительной подписью от имени Apple Inc.
По словам Виталия Камлюка, "выдать присутствие этого трояна в системе может установленная программа LittleSnitch для OS X (простой фаервол для OS X), и поэтому, злоумышленики не заражают системы где установлены программы LittleSnitch и Xcode".
