Objevil se další škodlivý software pro Mac OS X - MujMAC.cz - Apple, Mac OS X, Apple iPod

26. září 2011, 00.00 | Nový trojský kůň maskující se jako PDF dokument může do Mac OS X nainstalovat zadní vrátka ke vzdálenému serveru, zatím je však neškodný a dá se velmi snadno odstranit.

Oproti Windows se škodlivého softwaru pro Mac OS X vyskytuje jen málo, ale nelze tvrdit, že by vůbec neexistoval. Většinou však nejde o vážné hrozby a dá se jim celkem snadno vyhnout.

Ohlédnutí za MacDefenderem

Jistě si pamatujete na trojského koně MacDefender, jehož existenci Apple uznal v květnu a zanedlouho vyšla aktualizace Mac OS X, která ho odstraňovala.

Stejnou ochranu pak Apple začlenil do Mac OS X 10.6.8 a díky automatickým aktualizacím této ochrany se vypořádal i s dalšími mutacemi MacDefenderu. Nakonec ovšem tento software zmizel ze scény, když ruská policie zatkla zakladatele firmy, jež zřejmě stála za jeho vznikem.

F-Secure hlásí nového trojského koně pro Mac OS X

A minulý týden byl objeven další trojský kůň zasahující Mac OS X, v pátek 23. září to oznámila antivirová firma F-Secure.

Jde o trojského koně Trojan-Dropper:OSX/Revir.A (tak ho označila F-Secure), který se maskuje jako vícestránkový čínský PDF dokument. Obsah dokumentu byl převzat z článku, co koloval po Webu minulý rok a týkal se politických problémů v Číně.

Otevřená zadní vrátka prozatím nijak neškodí

Jestliže však uživatel tenhle dokument zobrazí na svém Macu (otevře soubor trojského koně), spustí se v něm ukrytý programový kód a nainstaluje dalšího trojského koně, zadní vrátka Backdoor:OSX/Imuler.A, jež otvírají skryté spojení na vzdálený server.

Zatím ale naštěstí nic jiného nedělá, server, k němuž se připojuje, nese pouze čistou instalaci Apache, která žádnému Macu nic způsobit nemůže. A protože byl tento trojský kůň objeven službou VirusTotal pro vyhledávání virů, nikoli přímo ze zpráv uživatelů, není si F-Secure jistá ani tím, jakými prostředky se tenhle software šíří, předpokládá však, že to s největší pravděpodobností budou přílohy zpráv elektronické pošty.

Obavy vzbuzuje spíše samotný mechanismus útoku

Tudíž to dosud není žádná reálná hrozba, avšak obavy vyvolává samotný princip fungování tohoto trojského koně, který ukazuje, jak lze i na Mac vpašovat škodlivý software zamaskovaný jako legitimní soubor. Pod Windows tohle ovšem není nic nového, tam už řadu let působí trojští koně ukrytí v souborech s příponou „pdf.exe“. Když je navíc nastaveno ukrývání přípon, může falešná ikona PDF dokumentu uživatele nalákat, aby otevřel něco, čemu by se měl vyhnout.

A jak vidět, podobně to může fungovat i pod Mac OS X, ačkoli vlastní mechanismus je tady jiný, ale opět zde nejslabší článek zabezpečení tvoří samotný uživatel. Pokud uživatel nebude klepat na podezřelé odkazy ve zprávách elektronické pošty a vypne automatické spouštění stažených souborů ve webovém prohlížeči (tedy nejspíš v Safari), měl by se téhle nákaze vyhnout. V tomto konkrétním případě mimoto jistě pomůže i to, že čínština v našich končinách příliš mnoho zájemců nenaláká.

Nového trojského koně se dá snadno zbavit

Navíc, i když už se tento trojský kůň na daný Mac dostane, lze se ho celkem snadno zbavit. F-Secure již zveřejnila postup, jak to provést. Je třeba otevřít Activity Monitor, najít v něm proces checkvir a stisknout tlačítko pro ukončení procesu. A potom se musí smazat následující soubory:

/users/user/Library/LaunchAgents/checkvir

/users/user/Library/LaunchAgents/checkvir.plist

Z výše uvedeného je zřejmé, že při alespoň trochu opatrném chování se lze nákaze tímto trojským koněm vyhnout a když už daný Mac napadne, není těžké ji odstranit. A dá se očekávat, že Apple brzy v rámci automatických aktualizací doplní definici nové hrozby do integrované ochrany Mac OS X (jež ovšem bude fungovat pouze pro Snow Leoparda a Lion).

Doplňující informace: Apple již příslušnou aktualizaci přidal, v seznamu definic hrozeb ochrany Mac OS X přibyla položka pro OSX/Revir.A.