Ondrej Holzman Mac računare napada novi zlonamerni softver koji pravi snimke ekrana bez znanja korisnika, a zatim prenosi fajlove na sumnjive servere. Virus se krije ispod aplikacije macs.app. Za sada, međutim, nije previše rasprostranjena.
Na Mac-u jednog od učesnika Oslo Freedom Foruma, međunarodne konferencije o ljudskim pravima koju svake godine u Oslu organizira Fondacija za ljudska prava, pronađena je nova vrsta prijetnje za korisnike Apple računara.
Nakon što instalirate macs.app, aplikacija radi u pozadini i nečujno snima snimke ekrana. Svaka snimljena slika se pohranjuje u folder Mac App u vašem početnom direktoriju odakle se datoteke učitavaju securitytable.org a docsforum.inf. Nijedna domena nije dostupna.
[do action=”tip”]Provjerite folder u svom početnom direktoriju Mac App (vidi sliku).[/do]
Macs.app može raditi na vašem Macu jer, za razliku od drugog zlonamjernog softvera, ima radni Apple Developer ID koji mu je dodijeljen, što znači da prolazi Gatekeeper zaštitu. Matični broj pripada izvjesnom Rajenderu Kumaru, a Apple ima opciju zamrzavanja njegovih prava, što bi vjerovatno i onemogućilo funkcioniranje virusa. Tako da možemo očekivati ranu intervenciju kalifornijske kompanije.
Dobro je znati. Ali zašto bih ga, zaboga, instalirao (da li je to .app ili instalacioni paket)?
F-secure trenutno istražuje zlonamjerni softver kako bi bolje utvrdio njegovo porijeklo, načine instalacije i kako radi.
Nisam saznao u kojoj formi se tačno preuzima, ali kada ga imate na računaru, automatski se pokreće kada pokrenete računar. Međutim, ne vidim da li je to potrebno instalirati.
Logično, korisnik mora da ga pokrene, samo je pitanje da li je "upakovan" sa nekom aplikacijom, da li je legalan ili krekovan, ili ako stigne mail tipa "Nude pictures of , run me now" i korisnik ga pokrene.
Pošto izgleda primitivno (može se vrlo lako napisati u AppleScript-u) i pošto piše u korisnički folder, ne bi mu trebala ni lozinka administratora, ali samo sudim po slici i informacijama u članku, mozda je drugacije :)
Ako se pokrene nakon pokretanja, onda bih rekao da mora završiti instalaciju (čak i demon ili samu aplikaciju). U svakom slučaju, kako piše DJManas, to upisuje u folder korisnika upravo tako da nema potrebe za lozinkom. Ne razumijem zašto to piše u "MacApp", a ne ".MacApp" - na taj način niko ko nema vidljive skrivene datoteke (dakle 90% ljudi) ne bi primijetio.
Ono što ja vidim kao veći problem je to što je neko koristio sopstveni ID programera da bi prošao GateKeeper – ovde Apple mora da reaguje veoma brzo i zauvek zabrani ove pojedince. Možda bih to mogao vidjeti na nekoj funkciji "prijavi kao neželjenu poštu/virus", skrivenu negdje duboko, tako da bi Apple trebao odmah početi da se bavi time kad dobije više od 1 takve obavijesti o aplikaciji.
Priznajem da nemam službeni ID programera, ali mislim da je dovoljno postaviti email, platiti članstvo, pa makar i 900,- godišnje, a korisnik je "živ" i može igrati ( ako ga ne stavi direktno u AppStore), što može doneti zadovoljstvo, ali ne znam tačno kako to funkcioniše, neka me neko ispravi.
S druge strane, korisnici mogu imati isključen GateKeeper jer instaliraju stvari s weba, a priznajem da sam ga i ja isključio, jer mi ne bi dozvolio da instaliram aplikaciju koju inače koristim, pretpostavljam da je OnyX tada (svježe instaliran 10.8) i nije otkrio pitam se da li su već službeni programeri i mogu ga uključiti...
Također sam ga onemogućio za svoju ženu jer sam razvio nekoliko "aplikacija/skripti/widgeta" koje koristimo samo ona i ja i nije mi dala da ih instaliram na njen OSX...
Preporučujem da uključite Gatekeeper i ako želite da instalirate aplikaciju koja nije potpisana, samo kliknite desnim tasterom miša na paket/aplikaciju i kliknite Otvori. Tada postoji mogućnost da se zaobiđe Gatekeeper za ovaj slučaj. Ja to radim sam i čini mi se sigurnijim - mogu instalirati i nepotpisane aplikacije, ali Gatekeeper pazi na sve ostalo.
Hvala, nisam znao ovo