A forrás egy orosz antivírus cég, a Dr. Web, aminek szerencsés névválasztása miatt kapásból gyanakodni kezd mindenki, hogy csak viccelnek a srácok. A cég mindenesetre 2003 óta létezik, és most állítólag végeztek egy kutatást. Arra voltak kíváncsiak, hány gép fertőzött a világban a BackDoor.Flashback trójaival. Az eredmény: 550.000 gép, aminek több mint fele az Egyesült Államokban található.
A trójai weboldalakon keresztül terjed, a biztonsági cég bizonyos forrásokra hivatkozva négymillió site-ról tud, ami a rendszert a Java biztonsági résén keresztül támadja.
A Java miatti sérülésveszélyre nem győzik felhívni a szakemberek a figyelmet, pont a Flashback miatt. Néhány napja a Flashback.K variánsa ütötte fel a fejét, ez a verzió már úgy épül be, hogy a rendszergazda jelszó beütését is kikerüli. Így meg már nem annyira komolytalan a dolog, mint az eddigi próbálkozások.
De nem csak az a baj, hogy a Javán keresztül érkező támadások egyre sűrűbbek, hanem hogy a Macekre nem az Oracle közvetlenül adja ki a kritikus frissítéseket, az Apple a Software Update-en keresztül, több napos késéssel tolja át a felhasználóknak a cuccot, amikor már késő lehet. Persze aki felteszi a Javát, magára vessen - mondhatnák Cupertinóban, ahol a Lion operációs rendszerből már kihagyták az előre feltelepített Oracle szoftvert, de ez így nekünk természetesen nem elég jó válasz.
Egyébként pont néhány napja érkezett egy Java update az Apple-től, ezt mindenképpen tegyétek fel.
Az F-Secure jó fej volt, leírta, hogyan kell ellenőrizni, fertőzött-e a gépünk, és hogyan kell manuálisan eltávolítani a károkozót. A Terminálban ezt a két parancsot kell lefuttatni:
defaults read /Applications/%böngésző%.app/Contents/Info LSEnvironment
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
Az első esetében a használt böngésző nevével kell helyettesíteni a %böngésző%-t, például Safari.app vagy Firefox.app.
Ha mindkét esetben olyan választ kapunk, aminek a végén a "does not exist" felirat szerepel, akkor tiszták vagyunk. Ellenkező esetben itt olvassátok el a további teendőket.
Egyébként mindenki tiszta? Én igen.
szucsadam
2012.02.27. 07:44
Címkék: hiba biztonság vírus
A Flashback nevű trójai Flashback.G variánsa az elkövető, és állítólag régebbi Java verziókra szakosodott a dög. A Macesek között a legveszélyeztetettebbek a Snow-Leopard-használók, akik régi Java motort használnak, ha ők meglátogatnak egy ilyen trójaival fertőző weboldalt, a malware kikerüli a biztonsági rendszert, és úgy mászik fel a gépre, hogy semmit nem vesz észre az áldozat.
De akkor sem teljes a biztonság, ha legújabb Javát használjuk. Ekkor a malware egy hamis biztonsági tanúsítványt mutat be a felhasználónak, amit Apple Inc. néven írtak alá. Ha a gyanútlan felhasználó a "nem megbízható" tanúsítványt elfogadja - mert hiszen nagyon bízik az Apple nevében -, akkor a trójai bejut a kapun, és megfertőzi a rendszert.
A trójai személyes adatokat lop, felhasználóneveket, jelszavakat, leginkább a Google, a PayPal, az eBay rendszeréhez, és hasonló népszerű weboldalakhoz. Tünetek lehetnek a folyton lehaló Safari, Skype és olyan programok, amikben beépített böngésző található.
szucsadam
2011.10.20. 09:44
Címkék: vírus malware tűzfal
Egy új fertőzést találtak az F-Secure-os srácok. a Flashback.C nevű malware egészen élethűen adja ki magát Flash Player telepítőnek, miközben elkérve a rendszergazdajelszót átírja a háttérben az XProtectUpdatert. Ez azért felelős, hogy az Apple-től letöltse a legfrissebb károkozók elleni update-eket. Gyakorlatilag a Flashback.C elvágja az összeköttetést az Apple-lel, nyitva hagyva a kaput a későbbi károkozóknak.
Az XProtect a Mac OS X beépített anti-malware programja, ami 2009 óta része a Mac OS X-nek, de 2011-ig nem igazán volt rá szükség. Ebben az évben jelent meg ugyanis a MacDefender nevű károkozó, ami ugyan gyermekien egyszerű módon próbálta meg kicsalni a felhasználókból a bankkártyájuk adatait, a felkészületlen Mac-használók közül sokan beleestek a csapdába. Az Apple ezután frissítette az XProtectet, egyrészt hogy az kinyírja a MacDefendert, másrészt hogy naponta frissíthesse az adatbázisát a háttérben. Így a következő MacDefenderre vagy más kártevőre gyorsan tudnak reagálni.
Nem nehéz észrevenni, hogyan lesz egyre intenzívebb a Mac OS X védelmi rendszerének építése, foltozása. A mostani kártevő pedig, a Flashback.C több szempontból is érdekes, noha komoly pánikot egyelőre nem kelt. Egyrészt kihasználja a Lion egyik fontos tulajdonságát, miszerint nincs előre telepített Flash Player a rendszerben, így sokan most először keresgélnek ez után (remélem nem árulok el titkot, hogy az Adobe oldalán kell keresgélni). Másrészt olyan, mint egy előőrs, ami a telefonvonalakat vágja el, hogy az utána következő csapatok bejuthassanak. Ijesztő, annak ellenére, hogy az utána jövő csapatok még meg sem születtek.
Így aztán egyre inkább előtérbe kerülnek a tűzfalak és a vírusirtók Macre is, még ha egyelőre komoly fenyegetéssel nem találkoztunk. Ez a legújabb kártevő az Appleinsider szerint például alapból kapitulál, ha meglátja a rendszerben a Little Snitch nevű tűzfalat.
szucsadam
2011.05.25. 16:05
Címkék: vírus malware
Az Apple nyilvánossá tett egy dokumentumot, amiben az egyre terjedő és egyre több kárt okozó MACDefender malware kipusztítását oktatja a Mac OS-felhasználóknak. Az eltávolítás tényleg rém egyszerű, az Activity Monitorban kilépünk a MacDefender, MacSecurity és MacProtector folyamatokból, aztán az Applicationsből a kukába húzzuk a hasonló nevű kártevőket.
.png)
Azonban az Apple nem elégszik meg ennyivel, a hamarosan érkező operációsrendszer-frissítés automatikusan kivágja a rendszerből ezeket a programokat, addig próbálja meg mindenki magában tartani a bankkártyaszámát, ha egy MACDefender nevű ablak kérdezi.
A mostani lépésre azután került sor, hogy az Apple Care telefonos segítői határozott utasítást kaptak arra vonatkozóan, ne segítsenek eltávolítani a malware-t az őket felkereső ügyfeleknek, ajánljanak helyette vírusírtót. A kártevő kukába húzása az egy ilyen do-it-yourself dolog lesz úgy tűnik, amíg a szoftverfissítés meg nem érkezik - a jelszós telepítés ellen a vírusirtók sem tehetnek semmit. Kíváncsi vagyok, érkeznek-e makacsabb példányok, ez a mostani inkább olyan tesztjellegűnek tűnt. És hát nem mentünk át a vizsgán, na.
