Ондрей Холцман Mac компютрите са атакувани от нов зловреден софтуер, който прави екранни снимки без знанието на потребителя и след това качва файлове на съмнителни сървъри. Вирусът се крие под приложението macs.app. Засега обаче не е много разпространено.
Нов вид заплаха за потребителите на компютри на Apple беше открита на Mac на един от участниците на Oslo Freedom Forum, международна конференция за правата на човека, организирана ежегодно в Осло от Human Rights Foundation.
След като инсталирате macs.app, приложението работи във фонов режим и прави екранни снимки безшумно. Всяко заснето изображение се съхранява в папка Приложение за Mac във вашата домашна директория, откъдето се качват файловете securitytable.org a docsforum.inf. Нито един домейн не е наличен.
[do action=”tip”]Проверете домашната си директория за папка Приложение за Mac (вижте снимката).[/do]
Macs.app може да работи на вашия Mac, тъй като, за разлика от друг злонамерен софтуер, той има работещ Apple Developer ID, който му е присвоен, което означава, че преминава защитата на Gatekeeper. Идентификационният номер принадлежи на определен Rajender Kumar и Apple има опцията да замрази правата му, което вероятно също би направило вируса невъзможен за функциониране. Така че можем да очакваме ранна намеса от калифорнийската компания.
Добре е да се знае. Но защо, за бога, да го инсталирам (дали е .app или инсталационен пакет)?
В момента F-secure проучва злонамерения софтуер, за да определи по-добре неговия произход, начини на инсталиране и как работи.
Не разбрах в каква точно форма се тегли, но като го имаш на компютъра си тръгва автоматично при стартиране на компютъра. Не виждам обаче дали трябва да се инсталира.
Логично, потребителят трябва да го стартира, въпросът е само дали е "в комплект" с някакво приложение, дали е легално или кракнато, или ако пристигне имейл от типа "Голи снимки на , стартирай ме сега" и потребителят го стартира.
Тъй като изглежда примитивно (може да се напише на AppleScript много лесно) и тъй като пише в папката на потребителя, не би трябвало дори да се нуждае от администраторска парола, но просто съдя от изображението и информацията в статията, това може да е различно :)
Ако започне след стартиране, тогава бих казал, че трябва да завърши инсталацията (дори демона или самото приложение). Както и да е, както пише DJManas, той го записва в папката на потребителя точно за да няма нужда от парола. Не разбирам защо го пише в "MacApp", а не в ".MacApp" - по този начин никой, който няма видими скрити файлове (така че 90% от хората), няма да забележи.
Това, което виждам като по-голям проблем е, че някой е използвал собствения си ID на програмист, за да премине през GateKeeper - тук Apple трябва да реагира много бързо и да забрани тези лица завинаги. Може би бих могъл да го видя на някоя функция "докладвай като спам/вирус", скрита някъде дълбоко, така че Apple веднага да започне да се занимава с него всеки път, когато получи повече от 1 такова известие за приложението.
Признавам си, че нямам официалния си идентификатор на програмист, но мисля, че е достатъчно да настроя имейл, да платя за членство, дори за 900,- на година, и потребителят е "на живо" и може да играе ( ако не го постави директно в AppStore), което може да донесе удовлетворение, но не знам как точно работи, моля някой да ме поправи.
От друга страна, потребителите може да са изключили GateKeeper, защото инсталират неща от мрежата и ще призная, че и аз го изключих, защото не ми позволи да инсталирам приложение, което обикновено използвам, предполагам, че беше OnyX тогава (току-що инсталирана 10.8) и не откри, чудя се дали вече са официални разработчици и мога да го включа...
Деактивирах го и за жена ми, докато разработих няколко „приложения/скриптове/джаджи“, които използваме само тя и аз, и тя не ми позволи да го инсталирам на нейния OSX…
Препоръчвам да включите Gatekeeper и ако искате да инсталирате приложение, което не е подписано, просто щракнете с десния бутон върху пакета/приложението и щракнете върху Отваряне. Тогава има възможност за заобикаляне на Gatekeeper за този случай. Аз го правя сам и ми се струва по-безопасно - мога да инсталирам и неподписани приложения, но Gatekeeper следи всичко останало.
Благодаря ви, не знаех това