Снежные барсы не болеют [Архив]

SDA

26.08.2009, 17:26

Как известно, на Mac OS отсутствуют вирусы, а если вдалеке появляется забредший «конь», то он является безобидным. Однако это не помешало Apple встроить в Snow Leopard антивирусный сканер.

Пока непонятно, как работает защита, сообщают специалисты Mac Security Blog, но при попытке запустить зараженный трояном OSX.RSPlug.A архив, скаченный из интернета, возникло предупреждение удалить файл в Корзину и отключить поддержку виртуального диска.

Возможно, превентивная защита Snow Leopard’a вызвана торрентами, через которые часто распространяется зараженный софт. Так зимой тысячи пользователей скачали пиратский iWork’09, в недрах которого спал OSX.Trojan.iServices.A. После установки пакета троян собирал жизненно-важную информацию о машине и отсылал куда-то на удаленный сервер. Зачем это нужно было – непонятно, но Apple обеспокоилась.

http://blog.intego.com/2009/08/25/snow-leopard-contains-an-antivirus/

P.S. Суть в том, что сама архитектура Mac OS убирает стандартное понимание вируса, там без root пароля никуда, программа не проинсталируется.

SDA

28.08.2009, 13:25

Антивирус в «Снежном барсе»: продолжение истории

Маленькая сенсация вчерашней среды — обнаруженный в системе 10.6 встроенный антивирус — стала обрастать новыми подробностями и деталями. Как утверждает сайт Ars Technica (в свою очередь ссылаясь на разработчиков http://deepapple.com/news/33081.html из Panic), сигнатуры вредоносного софта упрятаны в файл XProtect.plist глубоко в недрах системного каталога. При этом количество прописанных сигнатур ограничивается 2 (двумя) штуками, призванными идентифицировать троянские программы OSX.Trojan.iServices (http://deepapple.com/news/33081.html) and OSX.RSPlug ().
Разумеется, Apple не составит особого труда расширить такой набор до отличного от двух количества сигнатур, однако частота таких обновлений очевидным образом остается под вопросом. Заодно окончательно подтвердился другой факт — встроенный фильтр вредоносных программ предназначается для сканирования электронной почты и Web-контента в Safari, Firefox, iChat, Entourage, Mail и Thunderbird — и не рассчитан на проверку внешних накопителей и разделов жесткого диска «макинтоша».
www.deepapple.com

Добавлено через 11 часов 51 минуту

Антивирус в «Снежном барсе»: окончание истории

Первые факты, волна всеобщего интереса и вырулившая к файлу XProtect.plist развязка — страсти вокруг обнаруженного в системе 10.6 «антивируса» (а на самом деле — встроенного фильтрации вредоносных программ) растянулись примерно на полутора суток чистого времени.

Окончательную точку в этой истории поставила редакция Macworld.сo.uk.
Впервые в дистрибутив Mac OS X вошла встроенная система определения вредоносных программ, которая пытается предохранить пользователей от возможности нанести собственному компьютеру непреднамеренный ущерб.

Как эта система устроена?

Начиная с Mac OS X 10.4, Apple встроила в «десятку» систему проверки загружаемых файлов под названием File Quarantine. Пользователям «Леопарда» она знакома главным образом по предупреждениям о попытке открыть файл, только что скачанный из всемирной сети средствами Mail, Safari или iChat.

В «Снежном Барсе» File Quarantine был доработан с прицелом на malware — те самые вредоносные программы, сигнатуры с описанием которых хранятся в файле System/Library/Core Services/CoreTypes.bundle/Contents/Resources/XProtect.plist. И хотя на данный момент список сигнатур состоит из всего пары строчек, разработчики из Apple заверили, что файл XProtect.plist можно с легкостью обновить через Software Update.

Таким образом, если вы скачиваете файл каким-нибудь браузером — включая Safari, Firefox, OmniWeb, Opera, Mozilla, Camino и т. д., — почтовым клиентом (Mail, Entourage, Thunderbird) или через iChat, он обязательно пройдет проверку при попытке его открыть. Однако если нехороший malware-файл попадет на ваш Мак из других источников — ftp-сервер либо торрент — система его попросту не обнаружит.

Немаловажный факт: судя по всему, встроенная система не в состоянии удалять вредоносные программы на уже инфицированном «макинтоше».
Она вообще работает?

Ответ положительный. Причем поскольку Apple оперирует расширенным атрибутом the com.apple.quarantine в метаданных файла для хранения сведений о вредоносных программах, такая информация может переноситься с одного Мака на другой — правда, все сильно зависит от используемой файловой системы.

Все просто: если используется стандартная файловая система OS X, то метка «malware» сохранится в скопированном файле, однако если передавать помеченный файл по FTP, то клеймо в метаданных окажется утерянным (впрочем, есть исключение — в заархивированных средствами OS X файлах атрибуты останутся в сохранности даже при копировании по FTP).
Что все это значит?

Что означает встроенная malware-защита для Мак-юзеров? Пойдем от обратного — что именно эта новинка не означает:

Это не означает тучи взявшихся ниоткуда вредоносных программ — в товарных количествах их попросту не существует (новый фильтр в системе 10.6 появился не в силу необходимости, а в силу ответственности Apple перед клиентами).

Это не означает, что отныне Мак-юзеры могут выкачивать из сети все что угодно. Новый фильтр ничуть не отменяет железных правил «скачивать из проверенных источников» или «ни за что не открывать присланные неведомо кем файлы».

Это не означает, что компании вроде Symantec и Intego теперь остались не у дел — по словам представителей Apple, новая функция «не призвана заменить антивирусные программы, это всего лишь мера предосторожности против нескольких известных на сегодняшний день троянских программ под Мак».

Подытоживаем все вышесказанное: для Мак-юзеров новый malware-фильтр означает новый уровень защиты. Защиты не самой совершенной и не самой надежной, но ведь дареному коню в зубы не смотрят, правда?

Особенно когда этот конь до отказа набит вооруженными до зубов греками.

deepapple.com