Nowe sygnatury szkodliwych programów w Mac OS X
Wraz z wydaniem systemu Snow Leopard (Mac OS X 10.6) firma Apple wprowadziła podstawową ochronę antywirusową w postaci narzędzia XProtect. Skanuje ono w poszukiwaniu zagrożeń uruchamiane pliki, które zostały pobrane za pośrednictwem aplikacji Safari, Mail, iChat, Firefox i kilku innych. Nowe sygnatury zagrożeń są pobierane przez systemową funkcję „Uaktualnienia programów”.
Dotychczas baza danych narzędzia XProtect zawierała sygnatury trzech dobrze znanych zagrożeń dla systemu Mac OS X:
- OSX.RSPlug.A – program zmieniający lokalne wpisy dotyczące DNS, atakujący komputery za pośrednictwem sfałszowanych kodeków wideo;
- OSX.Iservice – program atakujący strony WWW (atak DDoS), dołączany do pirackich kopii legalnych aplikacji;
- OSX.HellRTS – znany także jako HellRaiser – narzędzie pozwalające cyberprzestępcy na uzyskanie pełnego dostępu do systemu ofiary. Wersja 4.2 narzędzia była dostępna publicznie, natomiast za wersję 4.4 autor życzy sobie 15 dolarów amerykańskich na forach podziemia cyberprzestępczego.
Uaktualnienie 10.6.7 dodaje do narzędzia XProtect sygnatury trojana „OSX.OpinionSpy”. Został on dołączony do wielu wygaszaczy ekranu i aplikacji zamieszczonych w połowie 2010 r. na popularnych portalach z oprogramowaniem dla Maków. Trojan jest także znany jako PremierOpinion, a jego działanie polega na gromadzeniu danych użytkownika i wysyłaniu ich na różne serwery. Trojan działa z uprawnieniami administratora, zatem może wykonywać dowolne działania na zainfekowanym komputerze.
Po uruchomieniu programu instalacyjnego dostarczonego wraz z trojanem użytkownik jest proszony o podanie hasła administratora, co jest typowe dla procesu dodawania nowych aplikacji w systemie Mac OS X. Podając hasło, użytkownik daje szkodnikowi pełny dostęp do swojego systemu. Dodatkową funkcją trojana jest wstrzykiwanie kodu do aplikacji Safari, Firefox oraz iChat, co pozwala mu na przechwytywanie dodatkowych informacji.
Rozwiązania Kaspersky Lab wykrywają tego trojana jako „Trojan.OSX.Spynion.a” już od 2 czerwca 2010 r. Od tego czasu analitycy z firmy otrzymywali zgłoszenia od użytkowników, którzy natknęli się na to zagrożenie.
Źródło: Kaspersky Lab