Ondrej Holzman A Mac számítógépeket új kártevők támadják meg, amelyek a felhasználó tudta nélkül képernyőképeket készítenek, majd fájlokat töltenek fel kétes szerverekre. A vírus az alkalmazás alatt rejtőzik macs.app. Egyelőre azonban nem túl elterjedt.
Új típusú fenyegetést találtak az Apple számítógép-felhasználók számára az Oslo Freedom Forum, a Human Rights Foundation által évente Oslóban megrendezett nemzetközi emberi jogi konferencia egyik résztvevőjének Mac számítógépén.
A macs.app telepítése után az alkalmazás a háttérben fut, és hangtalanul készít képernyőképeket. Minden rögzített kép egy mappában tárolódik Mac App a saját könyvtárában, ahonnan a fájlok feltöltődnek securitytable.org a docsforum.inf. Egyik domain sem elérhető.
[do action=”tip”]Ellenőrizze, hogy van-e mappa a kezdőkönyvtárában Mac App (lásd a képet).[/do]
A Macs.app azért tud működni a Mac számítógépen, mert a többi rosszindulatú programtól eltérően működő Apple Developer ID-vel rendelkezik, ami azt jelenti, hogy túllép a Gatekeeper védelmén. Az azonosító szám egy bizonyos Rajender Kumaré, és az Apple-nek lehetősége van befagyasztani a jogait, ami valószínűleg szintén ellehetetlenítené a vírus működését. A kaliforniai cég korai beavatkozására tehát számíthatunk.
Jó tudni. De mi a fenéért telepítsem (.app vagy telepítőcsomag)?
Az F-secure jelenleg vizsgálja a kártevőt, hogy jobban meghatározza annak eredetét, telepítési módjait és működését.
Nem jöttem rá, hogy pontosan milyen formában van letöltve, de ha a gépen van, akkor a gép indításakor automatikusan elindul. Viszont nem látom, hogy kell-e telepíteni.
Logikusan a felhasználónak kell lefuttatnia, a kérdés csak az, hogy "be van-e csomagolva" valamilyen alkalmazás, akár legális, akár feltört, vagy olyan email érkezik, mint a "Meztelen képek a , futtass most" szerű e-mail és a felhasználó elindítja.
Mivel primitívnek tűnik (nagyon könnyen írható AppleScript-ben), és mivel a felhasználó mappájába ír, nem is kell hozzá admin jelszó, de én csak a képből és a cikkben található információkból ítélem meg, más lehet :)
Ha az indítás után elindul, akkor azt mondanám, hogy be kell fejeznie a telepítést (még a démont vagy magát az alkalmazást is). Amúgy ahogy a DJManas is írja, pontosan beírja a felhasználó mappájába, hogy ne kelljen jelszó. Nem értem, miért írja "MacApp"-ba és nem ".MacApp"-ba - így senki sem venné észre, akinek nem láthatók a rejtett fájlok (tehát az emberek 90%-a).
Amit nagyobb problémának látok, az az, hogy valaki a saját fejlesztői azonosítóját használta a GateKeeper túllépésére – itt az Apple-nek nagyon gyorsan kell reagálnia, és örökre kitiltania ezeket a személyeket. Talán valami "spam/vírus jelentés" funkción láthatnám, valahol mélyen elrejtve, hogy az Apple azonnal kezdjen vele foglalkozni, ha 1-nél több ilyen értesítést kap az alkalmazásról.
Bevallom, nincs meg a hivatalos fejlesztői azonosítóm, de szerintem elég beállítani egy emailt, kifizetni a tagságot, akár évi 900,-ért is, és a felhasználó "él" és tud játszani ( ha nem teszi be közvetlenül az AppStore-ba), ami elégedettséget hozhat, de nem tudom pontosan, hogyan működik, valaki javítson ki.
Másrészt előfordulhat, hogy a felhasználók kikapcsolták a GateKeepert, mert a webről telepítenek dolgokat, és bevallom, én is kikapcsoltam, mert nem engedte, hogy telepítsek egy olyan alkalmazást, amelyet általában használok, azt hiszem, az OnyX volt. akkoriban (frissen telepített 10.8), és nem észlelte, vajon ők már hivatalos fejlesztők, és be tudom kapcsolni…
A feleségemnek is letiltottam, mivel fejlesztettem néhány "alkalmazást/szkriptet/kütyüt", amelyeket csak ő és én használunk, és ő nem engedte, hogy telepítsem az OSX-ére…
Azt javaslom, hogy kapcsolja be a Gatekeepert, és ha olyan alkalmazást szeretne telepíteni, amely nincs aláírva, kattintson a jobb gombbal a csomagra/alkalmazásra, majd kattintson a Megnyitás gombra. Ekkor lehetőség van a Kapuőr megkerülésére ebben az esetben. Én magam csinálom, és biztonságosabbnak tűnik - telepíthetek aláíratlan alkalmazásokat is, de a Gatekeeper minden mást szemmel tart.
Köszönöm, ezt nem tudtam