-
Актуальные вирусы для платформы Mac OS X
По данным вирусной базы Dr.Web
Mac.Iservice.2
(Backdoor.OSX.iWorm.b, OSX.Iservice, OSX/iWorkS-B, Backdoor
SX/IworkServ.B)
Добавлен в вирусную базу Dr.Web: 2009-05-16 06:25
Техническая информация
Распространяется в пиратских дистрибутивах известных программ для платформы Mac OS X. В отличии от Mac.Iservice.1, эта модификация троянца распространяется в составе пиратских дистрибутивов известных программ в виде программ генераторов лицензий (keygen). Именно эти генераторы и устанавливают в систему троянскую программу, причем при запуске такого генератора он запрашивает ввести пароль администратора, что само по себе является подозрительным. После запуска и ввода пароля администратора в систему устанавливается и активируется троянская программа.
В процессе установки вирус копирует себя в следующие системные каталоги: Исполняемый файл троянской программы устанавливается в /usr/bin/ DivX. Для автозапуска вместе со стартом системы тронская программа прописывает себя в качестве параметра автозагрузки в /System/Library/StartupItems/DivX/
Здесь размещается shell-скрипт со следующим содержимым:
#!/bin/sh
/usr/bin/DivX &
Его задачей является запустить на выполнения троянскую программу, которая в случаи наличия интернет-соединения активирует зараженную машину в ботнет-сеть.
Конфигурационный файл расположен здесь:
/System/Library/StartupItems/DivX/StartupParameters.plist
По умолчанию файл StartupParameters.plist содержит следующие параметры:
{
Description = ("DivX");
Provides = ("DivX");
Requires = ("Network");
OrderPreference = "None";}
Зараженным компьютером осуществляется сетевое взаимодействие по протоколу TCP со следующими хостами (хост:порт):
69.*.*.146:59201
qw*****k.free*****a.com:1024
Зараженный хост становится частью ботнета и может удаленно выполнять следующий набор команд:
Конфигурирование бота:
clear - удаление значения параметра из конфигурационного файла бота
get - получить значение параметра из конфигурационного файла бота
Обновление и добавление функционала:
httpget - скачать удаленный файл
httpgeted - скачать удаленный файл и запустить его на выполнение
Управление ботом:
sendlogs - получить лог-файл именем "ff"
platform - каждый раз возвращает "OSX"
rand - генерация псевдослучайного числа
rshell - установить удаленное соединение с host:port
script - выполнение сценария на языке программирования LUA
set - установка параметров в конфигурационный файл бота
shell - открыть системную консоль по заданному порту
sleep - остановиться на указанный временной интервал
system - выполнить заданную системную команду
uid - получить уникальный идентификатор бота
uptime - время работы бота без перезагрузки
Управление p2p-ботнетом:
p2pihist
p2pihistsize
p2plock
p2pmode
p2ppeer
p2ppeerport
p2ppeertype
p2pport
p2punlock
banadd
banclear
socks
leafs
nodes
Mac.DnsChange.2
(UNIX_JAHLAV.B, Trojan.Mac.Dnscha.f, OSX/Jahlav-C, OSX.RSPlug.A, OSX_JAHLAV.B)
Добавлен в вирусную базу Dr.Web: 2009-06-24 05:58
Техническая информация
Изначально был распространен в социальной сети Twitter в сообщении содержащем текст "Leighton Meester sex tape video free download!" и ссылку ведущую на вредоносный ресурс http://worldt**e.su. При посещении этой ссылке пользователю предлагается посмотреть видео-ролик, при клике на котором начинается загрузка дополнительного видео-кодека.
После того, как будет запущен файл ActiveXsetup.dmg, запустится установщик install.pkg, который предложит установить в систему вредоносную программу MacCinema.
Будучи запущенным неосторожным пользователем, троянец расшифровывает установочные shell-сценарии для загрузки основного сценария. В систему загружается Perl-сценарий с ресурса http://212.*.*.219/cgi-bin/generator.pl. Сетевое взаимодействие осуществляется по протоколу HTTP, причем значение User-Agent должно быть специального вида. Иначе происходит переадресация на поисковый сервис Google с нецензурным поисковым запросом.
Загруженный сценарий устанавливается в системную директорию /Library/Internet Plug-Ins/AdobeFalsh, пытаясь замаскироваться под программы от компании Adobe.
Вредоносный сценарий осуществляет подмену DNS-запросов в процессе работы пользователя с браузером.
И все таки нужен ли Антивирус на Mac OS? Еще один взгляд маковода
http://www.macjournal.ru/mac-os-x/antivirus-mac-os
Р.S. некоторые оппоненты на форуме ЛК считают меня некомпетентным фанатом, нахватавшимся рекламных лозунгов.
Правда сами в руках макбук не разу не держали. Это их самые "весомые аргументы"
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-

Сообщение от
SDA
Статья очень поверхностная (впрочем, как и весь сайт целиком), я бы не советовал вам использовать ее в качестве аргумента в каких-либо дискуссиях.
-
-

Сообщение от
aintrust
Статья очень поверхностная (впрочем, как и весь сайт целиком), я бы не советовал вам использовать ее в качестве аргумента в каких-либо дискуссиях.
Ну я и написал, как "Еще один взгляд маковода"
Конечно это не специальный, профессиональный анализ по антивирусной безопасности. Но позиция на мой взгляд правильная.
Дополню сообщение по вышеуказанным актуальным вирусам для Mac OS X.
Как известно, Apple встроило в Snow Leopard антивирусный сканер. Сигнатуры вышеуказанных троянов включены в антивирусный сканер Snow Leopard. Информации о добавлении Apple в антивирусный сканер новых сигнатур на данный момент нет.
-
-
Junior Member
- Вес репутации
- 56
На сколько я знаю, чтобы пустить вирусню к себе в мак, надо самолично ему разрешить это сделать, ибо без паса или рута он никак не заскочит и ничего сделать не сможет!
Поэтому стоит призвать пользователей Mac OS просто быть внимательнее и отдавать себе отчет в своих действиях!
З.Ы. Ну и конечно же купить себе капсулу, либо настроить маршрутизатор с USB портами и привязать его для бэкапов! Тогда меньше нервов будет тратиться при каких либо происшествиях!
Последний раз редактировалось Bansardo; 27.12.2009 в 21:23.
Стань лучше и сам пойми, кто ты, прежде чем встретишь нового человека и будешь надеяться, что он тебя поймет.
-
Junior Member
- Вес репутации
- 55
Сылка http://www.macjournal.ru/mac-os-x/antivirus-mac-os
не открывается. Пишет This domain has been blocked.Почему?
-
-
-
браузер
Добавлено через 1 час 41 минуту
так есть "пробивающие" вирусы под мак или можно не боятся?
Последний раз редактировалось g0dl1ke; 15.06.2010 в 14:58.
Причина: Добавлено
То, что не убивает нас, делает нас сильнее!
-

Сообщение от
g0dl1ke
браузер
Имя у него есть? Если это Firefox, то поинтересуйтесь в Гугле, за что сайт в чёрный список поместили.
-
-
Junior Member (OID)
- Вес репутации
- 36
А что это за вирус или как его назвать??image.jpg
-
Это мошенническая страница, которая "нашла" вирус для Windows у вас на Mac. Просто игнорируйте.
-