Лжеантивирус под мак, новые 64-битные руткиты и другие майские сюрпризы

Основным майским событием в сфере угроз информационной безопасности можно считать массовое распространение ложного антивируса, наиболее известного как MacDefender. Если лже антивирусы для Windows стали уже привычным явлением, то для Mac OS X такие вредоносные программы - все еще в новинку, тем более в масштабе эпидемий.

Лжеантивирус под мак, новые 64-битные руткиты и другие майские сюрпризы

А вот появление руткитов, атакующих 64-битные системы Windows, уже почти не удивляет: открыв для себя в 2010 году это поле деятельности, злоумышленники продолжают совершенствоваться в расчете на быстро растущее число пользователей этих ОС. Ниже более подробно представлены эти и некоторые другие угрозы мая 2011 года.

От чего «защищает» лже антивирус MacDefender под Apple?

лже антивирус MacDefenderВ мае мак-сообщество столкнулось с неожиданной угрозой: в зарубежных СМИ появились сообщения о фишинговой атаке с использованием вредоносной программы - ложного антивируса. Это ПО фигурирует под именами MacDefender, MacSecurity, MacProtector или MacGuard, попадая на компьютеры через неблагонадежные сайты, на которых пользователь узнаёт, что его система якобы заражена. Для устранения проблемы предлагается воспользоваться «антивирусом». В случае скачивания антивирус MacDefender, имитируя действия по поиску и обнаружению вирусов, приступает к достижению своей истинной цели - получению от пользователя денег за якобы полнофункциональную версию.  После инсталляции программа прописывается в списке автоматически загружаемых пользовательских приложений - Login Items. Таким образом, она активизируется каждый раз, когда пользователь входит в систему или включает компьютер, и периодически «находит» вредоносные объекты в системе, напоминая о необходимости их «вылечить». Для приобретения «лицензионной версии» MacDefender злоумышленники предлагают воспользоваться кредитной картой (причем передача данных происходит на незащищенной странице). После оплаты программа перестает что-либо находить в системе, создавая иллюзию, что деньги потрачены не впустую. MacDefender представляет угрозу для пользователей операционных систем Mac OS X 10.4-10.6. Стоит отметить, что схема взаимодействия этого ложного антивируса с серверами злоумышленников весьма схожа с аналогичными вредоносными программами для Windows. По мнению аналитиков «Доктор Веб», при его распространении используется партнерская схема. Apple, хотя и с некоторой задержкой, признала существование этой проблемы: на сайте компании была размещена инструкция по удалению MacDefender, а также рекомендации относительно того, как избежать его попадания на компьютер, и обещание в ближайшее время выпустить обновление операционной системы, «которое будет автоматически находить и удалять вредоносное ПО MacDefender и его известные разновидности». На сегодняшний день вирусная база Dr.Web насчитывает шесть модификаций этой вредоносной программы, включая самую последнюю, снабженную «прединсталлятором», а в Dr.Web для Mac OS X уже реализовано лечение от них.

64-битных руткитов становится для Mac OS X больше

В прошедшем месяце в вирусные базы Dr.Web были добавлены очередные модификации руткитов, «заточенных» под 64-битные версии операционных систем. Так, вредоносная программа Trojan.Necurs имеет в своем арсенале как 32-, так и 64-битный руткит-драйвер с «тестовой» подписью, благодаря которой обходит ограничение 64-битных версий Windows на загрузку неподписанных драйверов, используя системную утилиту bcdedit.exe. Вместе с тем Trojan.Necurs способен блокировать загрузку драйверов многих антивирусов, препятствуя защите системы. Новая версия бэкдора семейства Maxplus - BackDoor.Maxplus.13 — также умеет действовать в 64-битных системах. Эта вредоносная программа прекрасно обходится и без руткит-драйвера, используя для запуска подмену в реестре одной из ссылок на модуль подсистемы Windows: "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems","Windows". Таким образом, некорректное лечение от BackDoor.Maxplus.13 может привести к полной неработоспособности системы. Стоит отметить, что этот способ активизации был опробован еще в 2007 году троянской программой Trojan.Okuks - но тогда еще в 32-битных версиях Windows.



 
Добавить комментарий


Защитный код Обновить

Читайте также по данной теме на NEWS-APPLE.RU:

Если Вы нашли опечатку в тексте или неточность в материалах яблочного портала, то выделите текст с помощью мыши, нажмите Shift + Enter и отправьте нам сообщение.

ЭКСПРЕСС-ОПРОС: будете покупать белый, или серый iPhone 6?

Компьютеры

Apple MacBook Air
Apple MacBook
Apple MacBook Pro 13"
Apple MacBook Pro 15"
Apple MacBook Pro 17"
Apple Mac mini
Apple iMac
Apple Mac Pro
Apple Thunderbolt Display 27"

Плееры iPod

Apple iPod shuffle
Apple iPod nano
Apple iPod classic
Apple iPod touch

Телефоны

iPhone 3
iPhone 3GS
iPhone 4
iPhone 4S
iPhone 5
iPhone 5C
iPhone 5S
iPhone 6

Периферия

Принтеры и МФУ
Графические планшеты
RAID-массивы
Видеооборудование
Системы управения цветом

ПО APPLE

Mac OS X 10.6 Snow Leopard
Apple iLife ’11
Microsoft Office:Мас 2011
ABBYY Lingvo для Mac
ABBYY FineReader Express Edition
Apple Final Cut Studio 3
Apple Logic Studio 2
Apple Remote Desktop 3

Копирование и использование материалов портала news-apple.ru запрещено, без активной ссылки на наш сайт в качестве источника