Menu

Mac'і знову віруси атакують

Корпорація Symantec оголосила про виявлення нового варіанту загрози OSX.Macontrol. Це зайвий раз підкреслює невірність суджень про абсолютної безпеки платформи Mac OS, адже кількість атак на неї тільки збільшується. Новий вірус здатний видаляти і запускати файли, вимикати комп'ютер і збирати інформацію про користувача.

За приблизними оцінками експертів, частка на ринку ОС Windows США становить 84,1%, а Macintosh вдалося зайняти 14,8% і ця частка зростає. Населення США становить на даний момент порядку 309 мільйонів чоловік. Якщо припустити, що у кожного американця є комп'ютер, виходить, що близько 43 мільйонів користувачів стають потенційними жертвами.

Стає все ясніше, що теорії про захищеності операційних систем, які не є Windows, не вірні. З точки зору творця шкідливої програми, можливість використовувати експлойт для атаки на більшу кількість користувачів забезпечує більш широке поширення коду в силу багатьох причин. Зростаюча популярність платформи Mac і менш зрілі системи захисту для Apple зробили цю ОС потенційною мішенню для зловмисників. Це призвело до більшої кількості атак на користувачів Mac, ніж будь-коли раніше.

Нещодавно фахівці Symantec виявили новий варіант OSX.Macontrol, вперше виявлений в березні 2012 року. Цей зразок передається через цільові розсилки. Бінарний файл [md5 - e88027e4bfc69b9d29caef6bae0238e8] відрізняється невеликим розміром (75 Кб) і лише трохи перевершує функціональність бекдор для віддаленого хоста (61.178.77.16x). Веб сервер відноситься до категорії HTTP-command-and-control, він збирає та модифікує системні налаштування жертв. В той же час протокол HTTP дозволяє атакуючому уникнути виявлення за рахунок використання команд, які здаються чистим веб-трафіком.

OSX.Macontrol може:

  • Закрити з'єднання з віддаленим комп'ютером і припинити дію загрози;
  • Збирати інформацію з зламаного комп'ютера, пересилаючи її на віддалений хост;
  • Пересилати список процесів з зламаного ПК на віддалений сервер;
  • Завершувати процеси;
  • Саботувати запуск процесів;
  • Відновлювати шлях установки Трояна;
  • Видаляти файли;
  • Запускати файли;
  • Пересилати файли на віддалений сервер;
  • Передавати статус користувача та інформацію про нього на віддалений сервер;
  • Завершувати користувача за його сеанс роботи із системою;
  • Переводити комп'ютер у режим сну;
  • Перезавантажувати комп'ютер;
  • Вимикати комп'ютер.

Він також може відкривати наступну оболонку:

 

Mac'и снова атакуют вирусы

Щоб встановити зв'язок, він посилає зашифрований запит GET:

 

/h.gif?pid =113&v=130586214568 HTTP/1.
Accept-Language: en-us
Pragma: no-cache
User-Agent: Mozilla/4.0(compatible; MSIE 6.0; Windows NT 5.1)
Connection: Keep-Alive

 

Mac'и снова атакуют вирусы
Mac'и снова атакуют вирусы

Під час проведення дослідження, фахівці Symantec помітили активність IP-адреси 61.178.77.16x, що почалася в лютому 2012 року, коли різні версії шкідливого ПО почали приходити з цього діапазону адрес. Згідно з даними Symantec цей IP-адреса розсилає шкідливе пз не тільки для Mac, але і для Windows.

 

Щоб гарантувати безпеку вашого ПК, переконайтеся оновлення антивірусних баз. Також не варто завантажувати або відкривати вкладення від невідомих відправників. За зверненням компанії Symantec компанія Apple недавно відновила антивірусні бази OS X, щоб забезпечити захист від даної версії Macontrol.

|