Od początku miesiąca w Internecie zamieszczane są informacje o pojawianiu się stron podszywających się pod oprogramowanie antywirusowe dla systemów Mac OS X. Strona wyświetla listę „znalezionych” na komputerze zagrożeń oraz sugeruje instalację oprogramowania, które pozwoli na ich usunięcie. W rezultacie w systemie instalowane jest złośliwe oprogramowanie, które nakłaniania użytkownika do zakupu licencji! Nie są znane inne funkcje tego malware. Czy oznacza to początek ery złośliwego oprogramowania na komputerach Apple?
Jak się chronić ?
Dotychczas oprogramowanie to można było znaleźć pod nazwami:
Mac Security
Mac Protector
Pod tym adresem znajduje się instrukcja usunięcia oprogramowania z systemu.
Poniżej zrzut ekranu przedstawiający stronę podszywającą się pod oprogramowanie do wykrywania zagrożeń:
W przypadku trafienia na stronę, która „wyszukuje” zagrożenia na naszym komputerze oraz oferuje „pomoc w ich usunięciu” zalecamy szczególną ostrożność, opuszczenie podejrzanej strony, oraz pod żadnym pozorem nie instalowanie sugerowanego oprogramowania. Stronę taką (adres URL) można również zgłosić do CERT Polska.
Wstępne analizy
Podczas wstępnej analizy paczki z aplikacją znaleziono parę ciekawych adresów url:
http://%@
http://buy-viagra-now.net
http://fitish.com
http://gay.porn.com
http://%@/i.php%@
http://mac-defence.com
http://%@/mac.php%@
http://www.freebdsmgalleries.com
http://www.gay.com
http://www.porn.com
oraz prę ciekawych komend:
df -lg | awk 'NR==1{OFS=" ";$1=$1;print;next}{OFS="|";$1=$1;print}'
ioreg -rd1 -c IOPlatformExpertDevice | grep IOPlatformUUID
ps -eo %@ | awk 'NR==1{OFS=" ";$1=$1;print;next}{OFS="|";$1=$1;print}'
Prace nad szczegółową analizą trwają.
