Mac Flashback kártevő: Mi ez és hogyan lehet megszabadulni róla (GYIK)

Az Apple Mac platformját már régóta biztonságosabbá tették, mint a versenyt, de mivel a Mac értékesítés és a piaci részesedés növekszik, nagyobb célpont lett.

Sehol sem világosabb, mint a Flashback trójai esetében, egy gnarly kártékony program, melyet személyes adatok elrabolására terveztek úgy, hogy a főbb böngésző plug-inek elfedik. Tegnap az orosz vírusirtó cég, a Web Web azt mondta, hogy a becslések szerint 600 000 Mac már fertőzött, mivel a felhasználók tudatlanul telepítik a szoftvert.

Tehát itt van egy gyors GYIK a Flashback trójai témakörében, beleértve az információkat arról, hogy mi az, hogyan kell megmondani, hogy van-e, és milyen lépéseket tehet ahhoz, hogy megszabaduljon róla.

Mi pontosan a Flashback?

A visszacsatolás egyfajta rosszindulatú program, amelynek célja, hogy megragadja a jelszavakat és más információkat a felhasználóktól a webböngészőjükön és más alkalmazásokon, például a Skype-on keresztül. A felhasználó tipikusan hibás webböngészőjében hibásan hibázik, ha jogos böngésző plug-inet használ. Ekkor a szoftver telepíti a személyes adatok gyűjtésére tervezett kódot, és elküldi azt a távoli kiszolgálóknak. Legutóbbi inkarnációiban a szoftver felhasználói interakció nélkül telepíthető.

Mikor jelent meg először?

Amint tudjuk, az előző év szeptember vége előtt megjelent a flashback, úgy tűnik, hogy az Adobe Flash telepítője, egy olyan széles körben használt plug-in, amely video- és interaktív alkalmazásokhoz folyik, amit az Apple már nem szállít a számítógépén. A rosszindulatú webhelyek OS webhelyén a rosszindulatú webhelyeket látogató felhasználók a Java-futtatás idejét célozzák meg, és a webes tartalom megjelenítéséhez a rendszer kéri a rosszindulatú webhelyek látogatását. A fejlettebb verziók csendesen települnek a háttérben, jelszó nélkül.

Hogyan fertőzött meg sok számítógépet?

Az egyszerű válasz az, hogy a szoftvert úgy tervezték, hogy pontosan ezt tegye. A kezdeti inkarnáció során a malware nagyon hasonlított az Adobe Flash telepítőjéhez. Nem segített abban, hogy az Apple egy évnél hosszabb ideig nem szállította a számítógépét a számítógépére, és valószínűleg olyan felhasználókat hoz létre, akik nagyobb valószínűséggel futtatják a telepítőt, hogy megtekinthesse a Flashen futó népszerű webhelyeket. Az újabb Java-alapú változatokban a szoftver telepítheti magát anélkül, hogy a felhasználónak valamit kellene kattintania, vagy jelszavát kellene megadnia.

Ami nem is segített, az az Apple, mint a Java. Ahelyett, hogy egyszerűen használná a Java jelenlegi nyilvános kiadását, a vállalat saját verziókat hoz létre és tart fenn. Amint kiderül, a rosszindulatú írók egy adott sebezhetőséget kihasználtak, amit az Oracle februárban javított. Az Apple nem jutott hozzá ahhoz, hogy áprilisig rögzítse saját Java verzióját.

Mit csinált az Apple ezzel kapcsolatban?

Az Apple saját kártevő-beolvasóját építette be az OS X-be, az XProtect néven. A Flashback elindítása óta a biztonsági eszközt kétszer frissítették, hogy azonosítsák és megvédjék a Flashback variánsokat.

A rosszindulatú programok egy újabb verziója azonban az XProtect-en ment keresztül, ha a fájlokat Java-on keresztül hajtotta végre. Az Apple április 3-án bezárta a kártevő program fő belépési pontját egy Java-frissítéssel, és azóta kiadott egy eltávolítóeszközt egy későbbi Java-frissítés részeként.

Megjegyzendő, hogy a Java biztonsági javítások csak a Mac OS X 10.6.8 és újabb verzióiban érhetők el, így ha OS X 10.5 vagy korábbi verzióját futtatja, továbbra is sérülékeny lesz. Az Apple leállította az operációs rendszerekre vonatkozó szoftverfrissítések szállítását.

Hogyan mondhatom el, ha van?

Jelenleg a legegyszerűbb módja annak, hogy megmondja, hogy számítógépe fertőzött-e, hogy az F-Secure biztonsági cég felé menjen, és töltse le a Flashback észlelési és eltávolítási szoftvert. Kövesse az itt található utasításokat, hogy hogyan és hogyan használhatja. A Symantec biztonsági cég saját, Norton márkájú önálló eszközt kínál, amelyre itt juthat.

Alternatívaként futtathat egy parancsot a Terminálban, egy olyan szoftvert, amelyet a Mac Alkalmazások mappájának Utilities mappájában talál. Ha meg akarja találni az ásatás nélkül, csak végezzen Spotlight keresést a "Terminál" -nál.

Egyszer ott másolja és illessze be az alábbi kódok egyikét a terminálablakba. A parancs automatikusan fut:

alapértelmezett értékek olvashatók /Applications/Safari.app/Contents/Info LSE környezet

alapértelmezett értékek olvashatók /Applications/Firefox.app/Contents/Info LSE környezet

alapértelmezett értékek: ~ / .MacOSX / környezet DYLD_INSERT_LIBRARIES

Ha a rendszer tiszta, a parancsok megmondják, hogy ezek a tartomány / alappárok nem léteznek. Ha fertőzött, akkor a foltot feldobja, ahol a rosszindulatú szoftver telepítette magát a rendszeren.

Ó, igen, megvan. Hogyan távolíthatom el?

A fentiek egyikével az F-Secure vagy a Norton fent említett eszköze további lépések nélkül automatikusan megszabadul a számítógéptől. Ha valamilyen oknál fogva óvatos az egyik harmadik fél eszközének használata, a CNET Topher Kessler lépésről lépésre nyújt útmutatást a Flashback eltávolításáról a Mac-ről. Ez a folyamat megköveteli a terminálba való ugrást és a parancsok futtatását, majd a fertőzött fájlok tárolásának nyomon követését, majd manuális törlését.

Jó intézkedés érdekében jó ötlet az online jelszavak megváltoztatása a pénzügyi intézményekben és más biztonságos szolgáltatásokban, amelyeket a számítógép veszélyeztetése közben használhat. Nem világos, hogy ezek az adatok a támadás részeként célzottak, naplózottak, és elküldték őket, de ez egy okos megelőző magatartás, amelyet érdemes rendszeresen megtenni.

Kapcsolódó történetek

  • Az Apple Flashback malware eltávolítója most él
  • Visszatérve a legnagyobb Mac kártékony fenyegetésekre, a szakértők szerint
  • Több mint 600.000 Mac-ot fertőzött meg a Flashback botnet-tel
  • Java frissítés az OS X javításokhoz Flashback rosszindulatú programokat használ
  • ZDNet: Az új Mac rosszindulatú epidémia kihasználja az Apple ökoszisztéma gyengeségeit

Tehát most, hogy a javítások itt vannak, biztonságban vagyok?

Egy szóval, nem. A Flashback szerzők már megmutatták, hogy hajlamosak a rosszindulatú programok megváltoztatására az új biztonsági javítások mellőzésére.

A CNET javaslata elsősorban a megbízható forrásokból származó szoftverek letöltése. Ez magában foglalja az ismert és megbízható szoftvergyártók, valamint a biztonságos tárolók, például a CNET Download.com webhelyeit is. Másik hüvelykujjszabályként jó ötlet, hogy a harmadik féltől származó bővítményeket a lehető legkorszerűbbnek tartsák annak érdekében, hogy az aktuális biztonsági frissítések maradjanak. Ha még biztonságosabb marad, maradjon távol a Java és más rendszer-kiegészítőktől, hacsak nem szükséges egy megbízható szoftver vagy egy webes szolgáltatás.

A CNET-blogger Topher Kessler és a CNET vezető szerkesztője, Seth Rosenblatt közreműködött ebben a jelentésben.

Frissítve : április 5-én, 05:40 órakor, frissített eltávolítási utasításokkal. Frissítve: április 6-án, 7: 44-kor, PT-ről az Apple-ről származó második frissítéssel, és 13:55-kor PT-vel a Dr. Web webalapú észlelési segédprogramjával kapcsolatos információkkal. Frissítve: április 9-én, 12: 30-kor, PT független megerősítéssel arról, hogy a Dr. Web formája biztonságos az emberek számára. Ismét frissítve 16 órakor PT április 12-én az Apple saját eltávolítóeszközének megjelenését és részleteit.

Népszerű Bejegyzések

Hogyan ellenőrizhető, hogy a felhőtárolási szolgáltatás le van-e kapcsolva

Nyissa meg a hivatkozásokat a megfelelő alkalmazásban az Opener iOS alkalmazással

Keresse meg az ismétlődéseket az iTunes alkalmazásban

Használja okostelefonját keresőként, a Re Camera kioldóként

A kevéssé ismert billentyűparancsok növelik a Word termelékenységét

Az Airbnb foglalásakor figyelmet érdemel

 

Hagyjuk Meg Véleményét