Фальшивый Flash отключает в Mac OS X защиту от вредоносных программ

Появились сведения о новой версии трояна для Mac OS, который пытается выдать себя за установщика Adobe Flash Player. Троян отключает обновления антивирусной защиты Mac OS, делая систему уязвимой для любого другого устанавливаемого вредоносного ПО, поскольку защита не будет оповещать пользователя о угрозах при установке подобных программ и приложений.

Согласно информации, полученной от F‑Secure, новый троян Flashback.C может отключать автоматическое обновление встроенного в Mac OS X приложения XProtect, изменяя участки кода модуля XProtectUpdater, отвечающего за проверку наличия обновлений.

Заражённая трояном, система не сможет получать последние обновления, в результате чего при установке нового вредоносного ПО XProtect не сможет оповестить пользователя об угрозе. Отключение средств защиты — распространённая тактика, применяемая создателями вредоносного ПО, и антивирусные программы зачастую являются первой целью для атаки.

Flashback.A, обнаруженный в сентябре, маскирует себя под установщик Flash, при этом меню установки выглядит так же, как и в подлинном установщике. Такое сильное распространение трояна отчасти связано с тем, что последняя версия Mac OS X Lion не имеет предустановленного Flash.

Flashback.C работает аналогичным образом. После установки троян проверяет систему на наличие запущенного фаервола Little Snitch. Если данное приложение запущено, то троян автоматически удаляет себя. В противном случае Flashback пытается соединиться с удалённым хостом, расположенном в Китае, для загрузки остальных установочных файлов и файлов конфигурации. Однако, как сообщают F‑Secure, на данный момент удалённый хост не проявляет активности, то есть не отправляет в ответ никаких данных.

Для того, чтобы защититься от возможной угрозы, Apple и F‑Secure рекомендуют пользователям Mac использовать копии Flash, загруженные только через официальный сайт Adobe. Вторым советом является отключение в браузере Safari опции автоматического запуска файлов после их загрузки. Полезным будет и отказ от ввода пароля своего аккаунта в тех случаях, когда вы не уверены в необходимости предоставления такой важной информации.

Если же троян всё-таки попал в вашу систему, F‑Secure предлагают выполнить следующие инструкции:

Просканируйте всю систему

Удалите данную запись из plist

Удаление нужно произвести в следующих местах:

/Applications/Safari.app/Contents/Info.plist

/Applications/Firefox.app/Contents/Info.plist

Затем удалите все обнаруженные при сканировании заражённые файлы

В данный момент Apple ещё не выпустило обновление, которое автоматически отмечало бы троян как вредоносную программу при установке.

Попытки создать совершенную систему защиты системы от вредоносного ПО всегда сталкивались с проблемой, при которой сами пользователи могут установить вредоносную программу или компонент из стороннего источника. Данная проблема актуальна для пользователей Windows и Mac, а в последнее время и для Android. Пользователи iOS защищены от подобных угроз благодаря механизмам защиты App Store, а официальный магазин приложений для Mac предоставляет аналогичный уровень безопасности для пользователей настольных систем и ноутбуков. Проблема остаётся нерешённой из-за того, что существует множество расширений для браузеров и другого стороннего ПО, которое невозможно предоставить через официальный магазин приложений.

[via AppleInsider]