Пользователи Macintosh в настоящее время находятся в прицеле вредоносной программы (далее для простоты – вируса), выдающей себя за антивирусное предупреждение и обманным путем вынуждающей людей купить программу, которая им не нужна.
Уловка не нова. Так называемые “ложные антивирусы” атакуют пользователей Windows уже многие годы. Но для Mac-компьютеров такой вирус был создан впервые.
В данной статье мы расскажем о том, насколько в действительности серьезна эта опасность.
Что за вирус MacDefender?
MacDefender, также известный как Mac Security и Mac Protector, является ложной антивирусной программой, созданной, чтобы запугивать людей, сообщая им о том, что их компьютер заражен вирусом, и что для его лечения им необходимо произвести оплату с помощью кредитной карты.
Люди заражаются ложными антивирусами при посещении некоторых веб-сайтов. Опасные сайты создаются с единственной целью – распространять вредоносные программы. Причем они оптимизированы под поисковые запросы, поэтому в результатах поиска они появляются в верхних строчках.
Подобно наживке, эти сайты используют картинки, связанные с популярными новостями. Так, например, один из таких сайтов был в верхней пятерке по запросу информации о Доминике Стросс-Кане, французском политике и директоре Международного валютного фонда, обвиненном в конце прошлой неделе в изнасиловании. Вредоносные сайты приспосабливаются и ежедневно изменяются, поэтому блокировать их не просто.
Насколько велико распространение вируса?
Несмотря на то, что распространение вируса пока нельзя назвать эпидемией, похоже, что на глаза он попадается чаще, чем любые другие вирусы для Mac в прошлом. По данным ZDNet.com, представитель техподдержки AppleCare заявил, что объем звонков в службу поддержки был в четыре-пять раз выше, чем обычно, и что большинство из звонков были связаны с вирусом. “Началось все с одного звонка в день две недели назад, теперь же через звонок. Все становится хуже. И быстро”, заявил анонимный источник.
Также издательство ZDNet опубликовало некий внутренний документ Apple с инструкцией для работников службы поддержки по поводу поведения при поступлении звонков о MacDefender. Инструкция советует работникам не подтверждать или отрицать установку вируса на компьютер звонящего, и не пытаться удалить его. В тоже время, сотрудник ZDNet обнаружил на discussions.apple.com более 200 отдельных веток форумов по теме, включая комментарии людей, которые уже поймали вирус.
По словам компании Intego, с ней связалась “масса” пользователей, обеспокоенных вирусом, и что она уже собрала десятки примеров кода. “Новости все ухудшили, заставив беспокоиться пользователей Mac, и они уверены, что предупреждение ложного антивируса является реальным”, заявил представитель Intego. “Это самоподдерживающийся процесс”.
Apple отказалась давать комментарии по вирусу.
Как он работает?
Вирус претерпел несколько изменений, поэтому в зависимости от его версии, его окна и сообщения могут различаться. Ранняя версия вируса представляла ложные окна Windows, но поздние версии перешли на Apple-подобный интерфейс.
Обычно, при клике по вредоносной картинке пользователь перенаправляется на сайт, где запускается JavaScript и автоматически скачивает программу. Всплывающие предупреждения заявляют об обнаружении на машине подозрительной активности, о том, что Apple Web Security обнаружил на машине вирус, и предлагают удалить его.
Клик по кнопке “Ok” вызывает появление подобия сканирования компьютера, затем пользователю сообщается о том, что его машина заражена, и клик по “Ok” вызывает подобие установщика Mac OS, который просит ввести пароль администратора к компьютеру.
Ввод пароля вызывает установку вируса и представление процесса, который выглядит как еще одно сканирование компьютера и выводит предупреждения о предположительных инфекциях. Чтобы очисться от инфекций, от пользователя требуется регистрация и информация о его кредитной карте.
В других версиях, всего лишь посещение веб-сайта вызывает скачивание на жесткий диск файла .zip с названием, вроде "MacDefender" или "MacSecurity" и с расширением .mpkg. Если компьютер пользователя настроен на автоматическое открытие “безопасных” файлов, то он увидит окно с предложением установки. Клик по кнопке продолжения “continue” вызывает появление другого окна, просящего ввести пароль администратора и устанавливающего программу. Далее пользователь видит окно с сообщением об инфицировании его машины, предлагающее опционально очистить его за регистрацию и предоставление информации о кредитной карте.
После установки, в меню Mac OS X появляется новый элемент. Иконка похожа на небольшой оранжевый щит, который при “обнаружении” вирусов становится красным и мигающим. Если пользователь отказывается регистрироваться и предоставлять информацию о своей кредитной карте, вирус начинает открывать в его веб-браузере порно-странички, пытаясь вынудить его заплатить.
Вирус будет загружаться при каждой загрузке Mac, до его удаления. Также вирус не устанавливает иконку в док, поэтому его не просто закрыть. До удаления вируса, пользователям приходится завершать его процесс через монитор активности Activity Monitor.
Работу вируса можно увидеть ниже:
Что я могу сделать для собственной защиты?
Не посещайте непроверенные сайты, особенно те, что делают ставку на горячие новостные темы.
Не устанавливайте программ, если только они не исходят из проверенных источников.
Не выдавайте свой пароль администратора, если только вы не намеренно устанавливаете программу из проверенного источника.
Рассмотрите возможность создания двух аккаунтов – администратора и обычного аккаунта для обычного серфинга веб.
Если странным образом вы видите окно установщика, блокируйте его. Закрывайте странные предупреждения и всплывающие окна (особенно те, где опции “назад” или “отмена” не выделены), кликая по красной точке в верхнем углу.
Переместите все подозрительные файлы, которые, как вам кажется, связаны с MacDefender из папки скачанного в корзину. В настройках Safari снимите галочку с опции “открытия безопасных файлов после скачивания”.
Рассмотрите возможность использовать таких бесплатных антивирусов, как Intego и ClamX AV.
Избегайте предоставления информации о своей кредитной карте. Если вы предоставили информацию о своей карте, то незамедлительно позвоните в свое финансовое учреждение и заблокируйте ее.
Это означает, что Mac небезопасен?
Нет. Это означает, что преступники, которые обычно ориентировались на машины с Windows, теперь ориентируются и на Mac. По словам блоггера Браяна Крибса (Brian Krebs), примерно во время появления первого MacDefender, на криминальных андеграундных сайтах появился новый криминальный набор, который упрощает написание ботнет-вирусов для Mac OSX.
На днях же исследователь безопасности Джошуа Лонг (Joshua Long) напал в своем блог-посте на Mac App Store, заявив, что магазин подвергает своих пользователей риску. Блоггер нашел в магазине устаревшие программы, как минимум одна из которых содержит в себе критическую уязвимость безопасности.
Но другие люди, вроде Джона Грубера (John Gruber), настаивают, что сообщения о том, что безопасность Mac получила удар, являются лишь обманом. Представители издательства ArsTechnica.com пообщались с рядом специалистов поддержки Mac, по словам которых, они не заметили ощутимых действий со стороны Apple. Также один из работников службы поддержки Apple Store заявил, что до этого месяца ему никогда раньше не приходилось удалять с Mac вирус или вредоносную программу.
По словам экспертов, Mac-компьютеры по своей сути не являются гораздо более защищенными, чем Windows. Об этом в частности заявил Чарли Миллер (Charlie Miller), который несколько последних лет успешно атаковал Safari на Mac в трех конкурсах Pwn2Own. В случае MacDefender, вирус требует действий от пользователя, и не использует уязвимости в Mac OS. Кроме того, компьютеры Mac имеют встроенный антивирус, хотя, он, похоже, не защищает от MacDefender.
“Существует примерно 10 вредоносных программ, написанных для Mac, тогда как со слов Microsoft, каждое четырнадцатое скачивание является опасным”, заявил Миллер, “Поэтому это большая новость, т.к. редкая”.
Комментарии (0)