PDA

Просмотр полной версии : Актуальные вирусы для платформы Mac OS X



SDA
06.11.2009, 12:09
По данным вирусной базы Dr.Web
Mac.Iservice.2


(Backdoor.OSX.iWorm.b, OSX.Iservice, OSX/iWorkS-B, Backdoor:OSX/IworkServ.B)
Добавлен в вирусную базу Dr.Web: 2009-05-16 06:25


Техническая информация
Распространяется в пиратских дистрибутивах известных программ для платформы Mac OS X. В отличии от Mac.Iservice.1, эта модификация троянца распространяется в составе пиратских дистрибутивов известных программ в виде программ генераторов лицензий (keygen). Именно эти генераторы и устанавливают в систему троянскую программу, причем при запуске такого генератора он запрашивает ввести пароль администратора, что само по себе является подозрительным. После запуска и ввода пароля администратора в систему устанавливается и активируется троянская программа.


В процессе установки вирус копирует себя в следующие системные каталоги: Исполняемый файл троянской программы устанавливается в /usr/bin/ DivX. Для автозапуска вместе со стартом системы тронская программа прописывает себя в качестве параметра автозагрузки в /System/Library/StartupItems/DivX/

Здесь размещается shell-скрипт со следующим содержимым:

#!/bin/sh

/usr/bin/DivX &

Его задачей является запустить на выполнения троянскую программу, которая в случаи наличия интернет-соединения активирует зараженную машину в ботнет-сеть.


Конфигурационный файл расположен здесь:


/System/Library/StartupItems/DivX/StartupParameters.plist
По умолчанию файл StartupParameters.plist содержит следующие параметры:

{

Description = ("DivX");

Provides = ("DivX");

Requires = ("Network");

OrderPreference = "None";}

Зараженным компьютером осуществляется сетевое взаимодействие по протоколу TCP со следующими хостами (хост:порт):

69.*.*.146:59201
qw*****k.free*****a.com:1024
Зараженный хост становится частью ботнета и может удаленно выполнять следующий набор команд:

Конфигурирование бота:

clear - удаление значения параметра из конфигурационного файла бота
get - получить значение параметра из конфигурационного файла бота
Обновление и добавление функционала:

httpget - скачать удаленный файл
httpgeted - скачать удаленный файл и запустить его на выполнение
Управление ботом:

sendlogs - получить лог-файл именем "ff"
platform - каждый раз возвращает "OSX"
rand - генерация псевдослучайного числа
rshell - установить удаленное соединение с host:port
script - выполнение сценария на языке программирования LUA
set - установка параметров в конфигурационный файл бота
shell - открыть системную консоль по заданному порту
sleep - остановиться на указанный временной интервал
system - выполнить заданную системную команду
uid - получить уникальный идентификатор бота
uptime - время работы бота без перезагрузки
Управление p2p-ботнетом:

p2pihist
p2pihistsize
p2plock
p2pmode
p2ppeer
p2ppeerport
p2ppeertype
p2pport
p2punlock
banadd
banclear
socks
leafs
nodes

Mac.DnsChange.2
(UNIX_JAHLAV.B, Trojan.Mac.Dnscha.f, OSX/Jahlav-C, OSX.RSPlug.A, OSX_JAHLAV.B)
Добавлен в вирусную базу Dr.Web: 2009-06-24 05:58
Техническая информация

Изначально был распространен в социальной сети Twitter в сообщении содержащем текст "Leighton Meester sex tape video free download!" и ссылку ведущую на вредоносный ресурс http://worldt**e.su. При посещении этой ссылке пользователю предлагается посмотреть видео-ролик, при клике на котором начинается загрузка дополнительного видео-кодека.
После того, как будет запущен файл ActiveXsetup.dmg, запустится установщик install.pkg, который предложит установить в систему вредоносную программу MacCinema.

Будучи запущенным неосторожным пользователем, троянец расшифровывает установочные shell-сценарии для загрузки основного сценария. В систему загружается Perl-сценарий с ресурса http://212.*.*.219/cgi-bin/generator.pl. Сетевое взаимодействие осуществляется по протоколу HTTP, причем значение User-Agent должно быть специального вида. Иначе происходит переадресация на поисковый сервис Google с нецензурным поисковым запросом.

Загруженный сценарий устанавливается в системную директорию /Library/Internet Plug-Ins/AdobeFalsh, пытаясь замаскироваться под программы от компании Adobe.

Вредоносный сценарий осуществляет подмену DNS-запросов в процессе работы пользователя с браузером.

И все таки нужен ли Антивирус на Mac OS? Еще один взгляд маковода
http://www.macjournal.ru/mac-os-x/antivirus-mac-os
Р.S. некоторые оппоненты на форуме ЛК считают меня некомпетентным фанатом, нахватавшимся рекламных лозунгов. :) Правда сами в руках макбук не разу не держали. Это их самые "весомые аргументы" ;)

aintrust
06.11.2009, 12:37
И все таки нужен ли Антивирус на Mac OS? Еще один взгляд маковода
http://www.macjournal.ru/mac-os-x/antivirus-mac-os

Статья очень поверхностная (впрочем, как и весь сайт целиком), я бы не советовал вам использовать ее в качестве аргумента в каких-либо дискуссиях.

SDA
06.11.2009, 13:54
Статья очень поверхностная (впрочем, как и весь сайт целиком), я бы не советовал вам использовать ее в качестве аргумента в каких-либо дискуссиях.

Ну я и написал, как "Еще один взгляд маковода" :) Конечно это не специальный, профессиональный анализ по антивирусной безопасности. Но позиция на мой взгляд правильная.

Дополню сообщение по вышеуказанным актуальным вирусам для Mac OS X.
Как известно, Apple встроило в Snow Leopard антивирусный сканер. Сигнатуры вышеуказанных троянов включены в антивирусный сканер Snow Leopard. Информации о добавлении Apple в антивирусный сканер новых сигнатур на данный момент нет.

Bansardo
27.12.2009, 21:13
На сколько я знаю, чтобы пустить вирусню к себе в мак, надо самолично ему разрешить это сделать, ибо без паса или рута он никак не заскочит и ничего сделать не сможет!

Поэтому стоит призвать пользователей Mac OS просто быть внимательнее и отдавать себе отчет в своих действиях!

З.Ы. Ну и конечно же купить себе капсулу, либо настроить маршрутизатор с USB портами и привязать его для бэкапов! Тогда меньше нервов будет тратиться при каких либо происшествиях!

Marocanec
22.03.2010, 17:08
Сылка http://www.macjournal.ru/mac-os-x/antivirus-mac-os
не открывается. Пишет This domain has been blocked.Почему?

pig
22.03.2010, 20:04
Кто пишет?

g0dl1ke
15.06.2010, 14:58
браузер

Добавлено через 1 час 41 минуту

так есть "пробивающие" вирусы под мак или можно не боятся?

pig
15.06.2010, 22:49
браузер
Имя у него есть? Если это Firefox, то поинтересуйтесь в Гугле, за что сайт в чёрный список поместили.

Дмитрий Ажажа
04.06.2015, 00:37
А что это за вирус или как его назвать??566241

Никита Соловьев
04.06.2015, 08:38
Это мошенническая страница, которая "нашла" вирус для Windows у вас на Mac. Просто игнорируйте.