Специальный проект: как удалить BackDoor.Flashback.39 и подробности первой эпидемии для Mac OS X

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — открывает специальный проект, посвященный эпидемии BackDoor.Flashback.39 на компьютерах на базе Mac OS X. Зайдя на Anti-Flashback, вы узнаете о том, как найти и обезвредить BackDoor.Flashback.39, сколько «маков» заражено, и в каких странах они находятся, ознакомиться с хронологией эпидемии, а также почерпнуть другую информацию об этой угрозе.

Новый проект Anti-Flashback предназначен для всех пользователей «маков» — как для тех, кто уже пострадал от троянца BackDoor.Flashback.39, так и для тех, чей компьютер может быть уязвим перед этой угрозой.

На страницах Anti-Flashback вы сможете подробнее узнать о бот-сети Flashback и, в частности, о троянце BackDoor.Flashback.39, посмотреть географию распространения троянской программы и график роста заражений, проследить хронологию эпидемии и прочитать различные материалы о BackDoor.Flashback.39, опубликованные в СМИ. Также для вас: советы по безопасности, информация о других бот-сетях и методе «теневой загрузки».

Вместо «специальных утилит», создаваемых некоторыми разработчиками, для удаления BackDoor.Flashback.39 компания «Доктор Веб» предлагает воспользоваться давно известным сканером Dr.Web Light для Mac OS X, находящимся в топе бесплатных приложений на Mac App Store – он прекрасно справится с обнаружением и обезвреживанием этого троянца, а также других вредоносных программ, представляющих опасность для пользователей «маков».

Наряду с этим вы также можете с помощью специальной формы на Anti-Flashback определить, инфицирован ли ваш «мак» BackDoor.Flashback.39 или нет.

Отдельное внимание просим уделить разделу FAQ, в котором вы найдете ответы на самые популярные вопросы владельцев «маков» о BackDoor.Flashback.39 и эпидемии этого троянца.

«Доктор Веб» обнаружил ботнет из более чем 550 000 «маков»

Специалисты компании «Доктор Веб» — российского разработчика средств информационной безопасности — провели специальное исследование, позволившее оценить картину распространения троянской программы BackDoor.Flashback, заражающей компьютеры, работающие под управлением операционной системы Mac OS X. Сейчас в ботнете BackDoor.Flashback действует более 550 000 инфицированных рабочих станций, большая часть которых расположена на территории США и Канады. Это в очередной раз опровергает заявления некоторых экспертов об отсутствии угроз для пользователей «маков».

Заражение троянцем BackDoor.Flashback.39 осуществляется с использованием инфицированных сайтов и промежуточных TDS (Traffic Direction System, систем распределения трафика), перенаправляющих пользователей Mac OS X на вредоносный сайт. Таких страниц специалистами «Доктор Веб» было выявлено достаточно много — все они содержат Java-скрипт, загружающий в браузер пользователя Java-апплет, который, в свою очередь, содержит эксплойт. Среди недавно выявленных вредоносных сайтов фигурируют, в частности:

  • godofwar3.rr.nu
  • ironmanvideo.rr.nu
  • killaoftime.rr.nu
  • gangstasparadise.rr.nu
  • mystreamvideo.rr.nu
  • bestustreamtv.rr.nu
  • ustreambesttv.rr.nu
  • ustreamtvonline.rr.nu
  • ustream-tv.rr.nu
  • ustream.rr.nu

По информации из некоторых источников на конец марта в выдаче Google присутствовало более 4 млн. зараженных веб-страниц. Кроме того, на форумах пользователей Apple сообщалось о случаях заражения троянцем BackDoor.Flashback.39 при посещении сайта dlink.com.

Начиная с февраля 2012 года злоумышленники начали использовать для распространения вредоносного ПО уязвимости CVE-2011-3544 и CVE-2008-5353, а после 16 марта они стали применять другой эксплойт (CVE-2012-0507). Исправление для данной уязвимости корпорация Apple выпустила только 3 апреля 2012 года.

Эксплойт сохраняет на жесткий диск инфицируемого «мака» исполняемый файл, предназначенный для скачивания полезной нагрузки с удаленных управляющих серверов и ее последующего запуска. Специалистами «Доктор Веб» было выявлено две версии троянца: приблизительно с 1 апреля злоумышленники стали использовать модифицированный вариант BackDoor.Flashback.39. Как и в предыдущих версиях, после запуска вредоносная программа проверяет наличие на жестком диске следующих компонентов:

  • /Library/Little Snitch
  • /Developer/Applications/Xcode.app/Contents/MacOS/Xcode
  • /Applications/VirusBarrier X6.app
  • /Applications/iAntiVirus/iAntiVirus.app
  • /Applications/avast!.app
  • /Applications/ClamXav.app
  • /Applications/HTTPScoop.app
  • /Applications/Packet Peeper.app

Если указанные файлы обнаружить не удалось, то троянец формирует по определенному алгоритму список управляющих серверов, отсылает сообщение об успешной установке на созданный злоумышленниками сервер статистики и выполняет последовательный опрос командных центров.

Следует отметить, что вредоносная программа использует весьма интересный механизм генерации адресов управляющих серверов, позволяющий в случае необходимости динамически перераспределять нагрузку между ними, переключаясь от одного командного центра к другому. Получив ответ управляющего сервера, BackDoor.Flashback.39 проверяет переданное с командного центра сообщение на соответствие подписи RSA, а затем, если проверка оказывается успешной, загружает и запускает на инфицированной машине полезную нагрузку, в качестве которой может выступать любой исполняемый файл, указанный в полученной троянцем директиве.

Каждый из ботов передает управляющему серверу в строке запроса уникальный идентификатор инфицированного компьютера. С использованием метода sinkhole специалистам компании «Доктор Веб» удалось перенаправить трафик ботнета на собственные серверы, что позволило осуществить подсчет инфицированных узлов.

На 4 апреля в бот-сети действует более 550 000 инфицированных компьютеров, работающих под управлением операционной системы Mac OS X. При этом речь идет только о некоторой части ботнета, использующей данную модификацию троянца BackDoor.Flashback. Большая часть заражений приходится на долю США (56,6%, или 303449 инфицированных узлов), на втором месте находится Канада (19,8%, или 106379 инфицированных компьютеров), третье место занимает Великобритания (12,8%, или 68577 случаев заражения), на четвертой позиции — Австралия с показателем 6,1% (32527 инфицированных узлов).

Для того чтобы обезопасить свои компьютеры от возможности проникновения троянца BackDoor.Flashback.39 специалисты компании «Доктор Веб» рекомендуют пользователям Mac OS X загрузить и установить предлагаемое корпорацией Apple обновление безопасности: support.apple.com/kb/HT5228.

Стив Джобс покинул пост гендиректора Apple

Стив Джобс покинул пост главы Apple. Об этом со ссылкой на официальное заявление компании 24 августа сообщает Reuters. С 17 января 2011 года основатель Apple находился на больничном по причинам, о которых не сообщалось официально. В июне 2009 года Джобс перенес операцию по пересадке печени.

В своем письме ко всем сотрудникам компании Стив Джобс заявил: «Я всегда говорил, что если наступит тот день, когда я не смогу больше соответствовать своим обязанностям и ожиданиям в качестве генерального директора, я первым сообщу вам об этом. К сожалению, этот день настал».

Как сообщает Reuters, Стив Джобс был избран председателем совета директоров Apple. Именно в этой должности он пожелал видеть себя в дальнейшем. Гендиректором компании стал Тим Кук (Tim Cook), замещавший Джобса с 17 января 2011 года, когда тот ушел в отпуск по болезни.

Стив Джобс основал компанию Apple в 1976 году вместе со Стивом Возняком (Steve Wozniak) и Рональдом Уэйном (Ronald Wayne). В 1985 году он ушел оттуда из-за разногласий с высшим руководством корпорации, а в 1997 году вернулся и с 2000 года сам стал ее генеральным директором. Apple — одна из ведущих компаний-разработчиков компьютеров и программного обеспечения, с рыночной капитализацией 348 миллиардов долларов.


Вот возникает законный вопрос. Что теперь будет с компанией? Несомненно, некоторое время она еще будет будоражить умы своими странными девайсами, еще некоторое время ее оголтелые фанаты будут покупать безумно дорогие поделки, но что дальше?

А пока — рынки залихорадило…

«Акции технологических компаний, конкурирующих с американским гигантом Apple, резко выросли сегодня после сообщения о том, что Стив Джобс покинул пост гендиректора этой корпорации.

Так, ценные бумаги южнокорейских Samsung Electronics подорожали на 3%, LG Electronics — на 4%. Котировки японской Sony и тайваньской HTC поднялись более чем на 2%, китайской Lenovo — на 1,8%.

Ранее агентство Bloomberg отмечало, что на известие об уходе Джобса негативно отреагировали американские фондовые индексы. В частности, фьючерсы на высокотехнологичный Nasdaq снизились на 1,1%.»

BackDoor.Olyx позволяет злоумышленникам управлять «маками»

22 июня 2011 года

Специалистам компании «Доктор Веб» – ведущего российского разработчика средств информационной безопасности – удалось выявить новую угрозу для компьютеров, работающих под управлением Mac OS X. BackDoor.Olyx стал вторым известным бэкдором для данной операционной системы. Заражая «мак», эта вредоносная программа дает злоумышленникам возможность управлять компьютером без ведома его владельца: принимать с удаленного сервера команды создания, переноса, переименования, удаления различных файловых объектов, а также некоторые другие директивы.

Количество вредоносных программ под «маки» невелико, особенно по сравнению с угрозами для Windows. Так, бэкдор для Mac OS X до сих пор был известен только один — BackDoor.DarkHole. Эта программа имеет версию как для Mac OS X, так и для Windows. Запускаясь в операционной системе, она позволяет злоумышленникам открывать на зараженной машине веб-страницы в используемом по умолчанию браузере, перезагружать компьютер и удаленно выполнять различные операции с файловыми объектами. Теперь в вирусной базе Dr.Web к BackDoor.DarkHole присоединился BackDoor.Olyx.

Проникая на компьютер пользователя в виде приложения, предназначенного для «маков» с Intel-совместимой архитектурой, вредоносная программа BackDoor.Olyx создает на диске папку /Library/Application Support/google/, в которую сохраняет файл с именем startp. Затем BackDoor.Olyx размещает в домашней директории файл /Library/LaunchAgents/www.google.com.tstart.plist, с помощью которого после перезагрузки системы запускает данный вредоносный объект.

Вслед за этим программа перемещает себя во временную папку под именем google.tmp с целью удалить исполняемый файл из места его первоначального расположения. Как следует из названия угрозы, BackDoor.Olyx реализует на инфицированном «маке» функционал бэкдора, включающий в себя скачивание и запуск вредоносных файлов на зараженной машине и выполнение различных команд через оболочку /bin/bash. Таким образом, злоумышленники могут получить возможность управления зараженным компьютером без ведома пользователя.

Пользователи Dr.Web для Mac OS X могут быть спокойны за безопасность своих компьютеров, поскольку сигнатура данной вредоносной программы уже добавлена в вирусные базы Dr.Web. В целях противодействия заражению бэкдором BackDoor.Olyx пользователям Dr.Web для Mac OS X рекомендуется включить автоматическое обновление антивируса, а также производить периодическое сканирование дисков.

С уважением,
Служба информации
компании «Доктор Веб»
www.drweb.com

В России введут уголовную ответственность за перепрошивку мобильных?

ГУВД Москвы предложило ввести уголовную ответственность за перепрошивку мобильных телефонов. Об этом сообщает РАПСИ.

«Российским законодательством ответственность за данное деяние не предусмотрена, а компаниям сотовой связи безразлично, какой идентификационный номер у телефона, подключенного в сеть, — главное, если услуги связи оплачены. На наш взгляд, для разрешения данной проблемы следует предусмотреть уголовную ответственность», — заявил представитель пресс-службы ведомства Сергей Гуляев.

Перепрошивка — процедура перепрограммирования — распространена на российском рынке «серых» телефонов. Одним из популярнейших примеров является iPhone, новые модели которого регулярно появляются на черном рынке раньше старта официальных продаж.

Так, например, iPhone 4, который в России начал официально продаваться с 22 сентября 2010 года, можно было нелегально приобрести еще летом — в некоторых странах мира его продажи стартовали в июне. При этом многие смартфоны Apple были ранее приобретены в США вместе с контрактом оператора и впоследствии «перепрошиты» для того, чтобы работать в сетях связи российских операторов сотовой связи.

По замыслу ГУВД, перепрошитые «серые» аппараты должны попасть в черный список мобильных телефонов, которые будут автоматически блокироваться мобильными операторами по уникальному IMEI-коду, которым обладает каждый мобильный телефон.

Вот такую забавную новость увидел я на http://lenta.ru/news/2010/11/09/wetware/

Порадовало как обычно стремление наших чинуш быть праведнее праведников. Как же! Аппл теряет деньги, потому что ктото не стремиться пользоваться его поделками и пытаются их улучшить, или хотя бы поставить другой софт!

Вот меня всегда интересовало, сколько ж надо получить отката, чтоб ТАК радеть за чужую прибыль?