Ondrejus Holzmanas „Mac“ kompiuterius puola naujos kenkėjiškos programos, kurios be vartotojo žinios daro ekrano kopijas ir įkelia failus į abejotinus serverius. Virusas slepiasi po programa macs.app. Tačiau kol kas ji nėra labai paplitusi.
Vieno iš Oslo laisvės forumo – tarptautinės konferencijos žmogaus teisių tema, kurią Osle kasmet organizuoja Žmogaus teisių fondas – dalyvių Mac aptikta naujo tipo grėsmė „Apple“ kompiuterių vartotojams.
Kai įdiegiate macs.app, programa veikia fone ir tyliai daro ekrano kopijas. Kiekvienas užfiksuotas vaizdas saugomas aplanke „Mac“ programa savo namų kataloge, iš kurio įkeliami failai securitytable.org a docsforum.inf. Nei vienas domenas nepasiekiamas.
[do action=”tip”]Patikrinkite, ar pagrindiniame kataloge nėra aplanko „Mac“ programa (žr. paveikslėlį).[/do]
„Mac.app“ gali veikti jūsų „Mac“, nes, skirtingai nuo kitų kenkėjiškų programų, jai priskirtas veikiantis „Apple Developer ID“, o tai reiškia, kad ji praėjo „Gatekeeper“ apsaugą. Identifikavimo numeris priklauso tam tikram Rajenderiui Kumarui, o „Apple“ turi galimybę įšaldyti jo teises, o tai tikriausiai taip pat neleistų virusui veikti. Taigi galime tikėtis ankstyvos Kalifornijos įmonės įsikišimo.
Gera žinoti. Bet kodėl aš turėčiau jį įdiegti (ar tai .app, ar diegimo paketas)?
„F-secure“ šiuo metu tiria kenkėjišką programą, kad geriau nustatytų jos kilmę, diegimo būdus ir veikimo būdą.
Neišsiaiškinau, kokia forma jis tiksliai atsisiųstas, bet kai turi savo kompiuteryje, paleidus kompiuterį jis automatiškai paleidžiamas. Tačiau nematau, ar jį reikia įdiegti.
Logiškai mąstant, vartotojas turi jį paleisti, tik klausimas, ar ji „supakuota“ su kokia nors aplikacija, ar legali, ar sulaužyta, ar atkeliauja toks el. laiškas kaip „Nuod images of , run me now“ ir vartotojas jį paleidžia.
Kadangi atrodo primityviai (labai nesunkiai galima parašyti AppleScript) ir kadangi rašo į vartotojo aplanką, tai net nereikėtų administratoriaus slaptažodžio, bet aš tik sprendžiu iš paveikslėlio ir straipsnyje esančios informacijos, tai gali buti kitaip :)
Jei jis prasideda po paleidimo, tada sakyčiau, kad jis turi baigti diegimą (net demoną ar pačią programą). Šiaip kaip rašo DJManas, tai įrašo į vartotojo aplanką būtent taip, kad nereikėtų slaptažodžio. Nesuprantu, kodėl tai rašo "MacApp", o ne ".MacApp" - taip niekas, kuris neturi matomų paslėptų failų (taigi 90% žmonių), nepastebėtų.
Didesnę problemą matau tai, kad kažkas pasinaudojo savo kūrėjo ID, kad aplenktų „GateKeeper“ – čia „Apple“ turi labai greitai reaguoti ir uždrausti šiuos asmenis visam laikui. Gal galėčiau jį pamatyti kažkokioje „pranešti kaip šlamštą/virusą“ funkcijoje, paslėptoje kažkur giliai, kad „Apple“ turėtų tuoj pat pradėti su tuo susidoroti, kai tik gauna daugiau nei 1 tokį pranešimą apie programą.
Prisipažįstu, kad neturiu oficialaus kūrėjo ID, bet manau, kad užtenka susikurti el. paštą, susimokėti už narystę, net už 900,- per metus, ir vartotojas „gyvas“ ir gali žaisti ( jei jis neįdeda jo tiesiai į „AppStore“), tai gali kelti pasitenkinimą, bet aš nežinau, kaip tiksliai tai veikia, kas nors pataisykite mane.
Kita vertus, vartotojai gali būti išjungę „GateKeeper“, nes diegia dalykus iš interneto, ir prisipažinsiu, kad aš jį taip pat išjungiau, nes tai neleis man įdiegti programos, kurią paprastai naudoju, manau, tai buvo OnyX. tada (naujai įdiegta 10.8) ir neaptiko, įdomu, ar jie jau yra oficialūs kūrėjai ir galiu jį įjungti...
Taip pat išjungiau ją savo žmonai, nes sukūriau keletą „programėlių / scenarijų / valdiklių“, kurias naudojame tik aš ir ji, ir ji neleis man įdiegti jos savo OSX...
Rekomenduoju įjungti „Gatekeeper“ ir, jei norite įdiegti programą, kuri nėra pasirašyta, tiesiog spustelėkite paketą / programą dešiniuoju pelės mygtuku ir spustelėkite Atidaryti. Tada šiuo atveju yra galimybė apeiti „Gatekeeper“. Aš tai darau pats ir man atrodo saugiau - galiu įdiegti ir nepasirašytas programas, bet Gatekeeper stebi visa kita.
Ačiū, šito nežinojau