SG.hu

Megjelent az első trójai Mac-re

A legfertőzöbb kémprogramok "sikerreceptje" alapján terjed az első trójai Apple operációs rendszereken.

Az amerikai Sunbelt Software kutatócsoportja, a Sunbelt Threat Research Center 2007. novemberben is megjelentette toplistáját az október hónap során legfertőzöbb kémprogramokról és számítógépes károkozókról. A listát a Sunbelt szakemberei a CounterSpy kémprogram-eltávolítót használó és a ThreatNet káros alkalmazások elleni hálózatban résztvevő felhasználók automatikus visszajelzései alapján készítik.

Októberben nem változott a legtöbb fertőzést okozó kémprogramok élbolya: továbbra is a trójai FakeAlert, a szintén trójai Zlob.Media-Codec kémprogram és a a Virtumonde nevű hirdetési szoftver okozta a legtöbb fertőzést. Újdonság a Hotbar nevű, szintén hirdetési szoftver, amely kéretlen pop-up, pop-under és banner hirdetéseket jelentet meg a böngészőben, vagy felugró ablakokban. Hasonló elven működik az ugyancsak frissen a listára került WhenUSave, amely a Windows indulásakor automatikusan elkezd működni és a legváratlanabb pillanatokban jelenít meg hirdetéseket a képernyőn. A lista 10. helyén található újonc, a NewDotNet pedig nem létező domain nevek elérését ígéri (például .shop, .sport vagy .family végződéssel) és módosítja az operációs rendszer alapvető hálózati szolgáltatásait. Az októberi toplistán leginkább a káros alkalmazások szokszínűsége figyelhető meg, hiszen trójai, hirdető program és rootkit egyaránt megtalálható rajta.

A hónap legnagyobb újdonsága kétségtelenül az Apple termékek használóit érinti, akik sokáig biztonságban érezhették magukat, hiszen Macintoshra nem fejlesztettek jelentős számmal vírusokat és kémprogramokat. Úgy tűnik, ennek most vége: az Intego IT biztonságtechnikai cég felfedezte az első professzionálisan elkészített trójait Mac OS X operációs rendszerre.

Az OSX.RSPlug.A nevet viselő káros alkalmazás egy QuickTime beépülő modulnak álcázza magát, valójában pedig egy DNS átirányító, ami a fertőzött számítógépen tetszőleges weboldalt képes átirányítani más weboldalakra: például a Google keresési találatok helyett egy hasonló, de a bűnözők által megszerkesztett oldalra is el tudja vinni a felhasználót, vagy akár meg is tagadhatja bizonyos weboldalak (kiszolgálók) elérését. Az új Mac-es károkozó a Sunbelt toplistát sokáig vezető Trojan-Downloader.Zlob.Media-Codec működését másolja: felnőtt tartalmú videó “megtekintéséhez" szükséges kódoló modulként tünteti fel magát, majd az "ultracodec" mindössze egy jóváhagyást és a telepítéshez jelszót vár a felhasználótól:


A jóváhagyás után már fel is települt a trójai. Ironikus módon a telepítés akkor indul el, ha a Safari-ban korábban bekapcsoltuk az "Open safe files after downloading" opciót, vagyis a biztonságos letöltések automatikus megnyitását - csak ez esetben a biztonságos jelzővel akadnak problémák. Az új károkozó ellen a Safari nem véd, de az antivírusok sem ismerik fel: a VirusTotal 31 antivírusából egy sem azonosította a károkozót.

Abban valamennyi vezető IT-biztonsági szoftver gyártó - így a Sunbelt Software és a McAfee - képviselői is egyetértenek, hogy az új támadás elsősorban a Mac OS X operációs rendszert futtató iPhone telefon és iPod Touch médialejátszó utóbbi időben tapasztalható nagyarányú elterjedésének egyenes következménye lehet. "A Macintosh felhasználók eddig biztonságban érezhették magukat, ezért gyakorlatilag nem foglalkoztak antivírus, vagy kémprogram-eltávolító telepítésével. A jövőben minden bizonnyal egyre több károkozóval találkozhatunk Apple gépeken is, ahogy a Mac OS X egyre népszerűbbé válik és a bűnözők számára egyre kifizetődőbb lesz a platform támadása." - mondja Bódis Ákos, a Sunbelt magyarországi képviseletének ügyvezetője.

A legfertőzöbb kémprogramok és káros alkalmazások 2007. októberében:

1. Trojan.FakeAlert (trójai)
A kémprogram tipikusan a tálcáról felugró tájékoztató ablakokban hívja fel a felhasználó figyelmét számítógépe fertőzöttségére, és megpróbálja rávenni a gyanútlan felhasználót különböző rosszindulatú, biztonsági programnak álcázott szoftverek, például ál-antivírusok feltelepítésére.

2. Trojan-Downloader.Zlob.Media-Codec (trójai letöltő)
A káros alkalmazás bizonyos felnőtt tartalmú honlapokon az egyes videók lejátszásához szükséges Windows Media Player bővítményként tünteti fel magát, valójában viszont további káros alkalmazásokat és kémprogramokat tölt le a felhasználó számítógépére. A Trojan-Downloader.Zlob.Media-Codec a háttérben letölt és feltelepít olyan rosszindulatú, biztonsági szoftvereknek álcázott kémprogramokat, mint a SpywareQuake, a SpyFalcon vagy a WinAntivirusPro, amik később újabb és újabb károkozók letöltéséhez vezetnek.

A Trojan-Downloader.Zlob.Media-Codec fertőzésnek olyan változata is ismert, ami hátsó ajtót nyit a felhasználó számítógépén, így a programírók távolról átvehetik az irányítást a számítógép felett, és azt különböző illegális tevékenységekre használhatják fel.

3. Virtumonde (reklámprogram)
A Virtumonde felugró ablakokban különböző kéretlen reklámokat jelenít meg, a háttérben pedig további károkozók letöltésére, és különböző összegyűjtött adatok elküldésére is képes. A fertőzést általában nehéz eltávolítani, több módszerrel is próbál a kémprogram-eltávolítók ellen küzdeni.

4. ClickSpring.PuritySCAN (reklámprogram)
A PuritySCAN egy reklámok megjelenítésével finanszírozott szoftver, ami a böngésző gyorsítótára és az előzmények átvizsgálsával pornográf tartalmakat és utalásokat keres, majd felajánlja ezek törlését. A háttérben viszont a program a teljes böngészési előzményeket elküldi, ami alapján célzott hirdetéseket jelenít meg. A licensszerződés, ami a program telepítésével kerül elfogadásra, külön kitér arra, hogy a fejlesztő ClickSpring LLC automatikusan frissítheti vagy eltávolíthatja a szoftvert, és minden további hozzájárulás nélkül (vagyis a felhasználó tudta nélkül) tetszőleges alkalmazásokat telepíthet a számítógépre.

5. WhenU.Save (reklámprogram)
A kémprogram folyamatosan figyeli a felhasználó böngészési szokásait, és a meglátogatott oldalak függvényében jelenít meg a tartalomhoz többé-kevésbé illő hirdetéseket. A reklámprogram működését a végfelhasználói szerződésben is felvállalja, elméletileg teljesen eltávolítható kézzel is, de ezt minden lépésben megnehezítik a fejlesztők. Olyan apróságokra is figyeltek, hogy a program eltávolításkor fordított értelmű kérdést tesz fel és arra kérdez rá, hogy a programot szeretné-e megtartani, amikor az eltávolítók szinte mindig az alkalmazás törlésére kérnek megerősítést.

6. RootKitWin32Agent.eq (rootkit)
Az operációs rendszer legmélyebb rétegeibe beférkőző Win32.Agent.eq rootkit elsősorban reklámprogramok számára biztosít búvóhelyet kémprogram-eltávolító és antivírus szoftverek elől. A futó rootkit képes átverni az operációs rendszert úgy, hogy a károkozókat tartalmazó könyvtárat "nem mutatja" a könyvtárak listázása során, így egy víruskeresés esetén a klasszikus védelmi szoftverek számára láthatatlan marad a búvóhely.

7. Hotbar (bögésző eszköztár)
Az eszköztár egy teljes, hasznosnak tűnő programcsomagot is feltelepít: időjárás jelentőt, asztali háttérkép letöltőt, Outlook Tools néven az Outlook levelezőkliensekbe beépülő modult és az internetes vásárlásokat "segítő" böngésző oldalsávot, ami vásárláskor a konkurencia reklámjait jeleníti meg a weboldal mellett. A program kézi eltávolítása nehézkes, többször próbálja a felhasználót lebeszélni a valós eltávolításról, és teljesen csak kémprogram-eltávolító használatával tüntethető el. Az eszköztár működése során megváltoztatja a böngésző kereső és saját honlap beállításait, böngészési beállításait, és gyűjtött adatokat jelent a böngészési és kommunikációs szokásokról.

8. Command Service (reklámprogram)
Egy klasszikus adware kémprogram a felhasználó engedélyével, általában más, hasznosabb szoftverekkel együtt települ, és böngészés közben kéretlen hirdetéseket jelenít meg. A Command Service különlegessége, hogy más adware programok kiütésével megpróbálja "megvédeni saját területét", a megszerzett számítógépet: végfelhasználói licensszerződése tartalmazza, hogy a program a felhasználó külön értesítése nélkül eltávolíthat, letilthat vagy működésképtelenné tehet más adware alkalmazásokat, amelyek feltételezhetően csökkenthetnék a Command Service hatékonyságát.

9. Trojan.Unclassified.gen (trójai)
A Trojan.Unclassified.gen általános kategóriába olyan trójai alkalmazások tartoznak, amelyeket a CounterSpy felismer, de egyenkénti elnevezésükre és elemzésükre még nem került sor. A kategória sok, hasonló fertőzést tartalmaz.

10. NewDotNet (böngésző beépülő modul)
A New.net szolgáltatás lehetővé teszi olyan "új", legfelsőbb szintű domain nevek elérését mint a .shop, .family vagy .sport. Ugyan ezek jól hangzó domain nevek lehetnek, de valójában az interneten nem léteznek, csak a New.net klienst feltelepített számítógépeken érhetőek el. A New.net az operációs rendszerbe mélyen, az LSP láncba épül be és működése során saját maga oldja fel a különleges, nem létező domain neveket. Szakszerűtlen eltávolítása esetén az LSP lánc megsérülhet, miután a Windows nem tud többet csatlakozni az internethez.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • McMac #13
    Nem sok virus van mac-re? Te hanyrol hallottal egeszen konkretan? :) (os x-re persze) Inkabb legyen az kartevo, vagy trojai, ugy tobb realitas van benne.

    Mindenesetre szerintem akkor sem lenne nagy gaz, mert egyreszt a kevesebb gep miatt lassabban terjedne, masreszt pc-re is csomo uj virust nem fog meg a virusirto, vagy azert mert hulladek, vagy mert 1 eve volt frissitve az adatbazisa :)
    Egyebkent meg biztos hogy a hibat nem (csak) a virusirto cegek orvosolnak mac-re, hanem az apple is egy update-tel - utobbi viszont tokingyen.
    De miutan engem mar 5-6 eve riogatnak a mac-es virussal, es nem tortent eddig semmi, nem mondhatnam hogy tulzottan izgatom magam :)
    Bar nem a virusoktol valo felelmem miatt, de jellemzoen eddig is megvalogattam hogy honnan es mit toltok le, ez ezutan is igy lesz.
  • eto demerzel #12
    most mas kerdes merul fel. mivel a mac-re nm sok virus van, ergo nm hasznalnak virus keresot, de mivan akkor ha valakinek sikerulne megkerulnie az admin modot es ir 1 virust ami nm ker jelszot. akkor nagy szivas lenne a mac-s tarsadalomra nezve. mire feleszmelnek akkora karok lesznek. es ebbe en is bele tartozom. nekem sincs virus keresom. :) 1=re
  • McMac #11
    Bizonyara mashogy gondolnad ha mac-eskent evek ota olvasnad ezeket a - sok esetben tenyeket elferdito - cikkeket amik folyton a vilagveget emlegetik, aztan az eg vilagon semmi sem tortenik.
    Btw alaposan kifejtett irasnak nevezheto az a cikk ahol azt allitjak hogy nem keszitettek mac-re jelentos szamban virust? Igaz, a 0 az valoban nem jelentos szam :D Mas kerdes hogy a tobbsegben nem a 0 merul fel mint szam, hanem parszaz, vagy tobbezer.
  • eto demerzel #10
    hehe na mostmár a macesenke se lehet akkora arcuk ahogyan mar masok is mondtak nm magatol telepul a gepre. az arcunk akkor is nagy :) en is azert valtotam eloszor linux majd mac-re mert nix virus, adaware. ami meg van az is inkabb bohoc mutatvanyi. mert hat a kartevok lenyege hogy titokban telepulnek fel a gepre. ami ugyebar ebben az esetben nm jon be.
  • Cat #9
    "ilyen szenzaciohajhasz hulye cikkekkel nem foglalkozunk"

    Lehet hogy hülye vagyok, de nekem ez nem egy szenzaciohajhasz bulvárcikknek tűnik, hanem egy alaposan kifejtett írásnak.
  • matt taylor #8
    "Megjelent az első trójai Mac-re"
    Ez is azt bizonyítja hogy a Windows 10 ével a mac előtt jár
  • Cleawer #7
    Azért vágjátok:
    " "ultracodec" mindössze egy jóváhagyást és a telepítéshez jelszót vár a felhasználótól" éés "a telepítés akkor indul el, ha a Safari-ban korábban bekapcsoltuk az "Open safe files after downloading" opciót"

    Ha a 2feltétel teljesül települ,szóval ha az 1ik nem teljesül,akkor nincs trójai.

    Winnél magától lejön,és telepíti magát önállóan...
  • PíszLávJuniti #6
    Amióta elérhető x86ra, szerintem sokan warezolnak vele, ami a terjedés fő okát adhatja.
  • McMac #5
    Latom te aztan frankon kepben vagy a temaban, sok mac-est ismersz, olyat is akinek tele van viruskeresovel a gepe meg egyeb szarral, ugyanakkor az nem tunt fel hogy parhavonta valami onjelolt szakerto megmondja a frankot, hogy ocsem most aztan qvanagyszarbanvagytokmertjonnekcsostulatrojaikmegvirusokcsakfigyeljetek :D
    Megnyugtatlak, ugyanarra a sorsra aligha fog jutni a mac mint a (win)pc, meg akkor sem ha maga az apple fogja szolgaltatni a virusokhoz/trojaikhoz a kodot xcode ala :)
    Meg ha feltetelezzuk is azt a keptelenseget hogy ugyanolyan lyukas az os x mint az xp/vista, akkoris ott van a hatalmas (ujan eladott gepek teren harmincszoros) elteres a felhasznaloi bazis teren, ami eleve keptelensegge teszi a fenti feltetelezest.
  • McMac #4
    Vagy inkabb az a megoldas hogy az ilyen szenzaciohajhasz hulye cikkekkel nem foglalkozunk, hanem hasznaljuk tovabb a gepeinket ahogy eddig - jellemzoen minden problema nelkul :) Most az egy dolog, hogy az elmult oraban ez a 3. hely ahol errol olvasok, az egy masik hogy mar nem is tudom hanyadik alkalommal irnak arrol hogy megjelent az elso (!) trojai, vagy - kellokeppen tajekozatlan lama fogalomzavarban szenvedo cikkirok eseten - VIRUS mac-re, de tok jo lenne mar ha akkor kapnanak az ilyen hulye cikkek publicitast amennyiben vegre valahara tenyleg vegigsoport a macintosh-okon valami valoban karos ize. Nem pedig az orokos lehetosegekkel remisztgetik a nagyerdemut ahogy azt pl. a secunia teszi allandoan, mert ugye o csak jot akar, es anyagilag neki nem is eri meg okorsegeket trombitalni.
    Ez mar azert kezd egy kicsit szanalmas lenni, plane tobb ev tavlatabol.
    Majd akkor elkezdek KICSIT aggodni ha valoban (!) kivegzik a gepemet - es sok forumtars gepet is persze - ilyen-olyan kedves kis programocskak - hozzateszem, jelenleg a security cuccaim nincsenek frissitve (2 eve, az install ota), es a tuzfalat csak azert sem kapcsolom be, pedig egy gomb lenne :)