Trojský kůň ve screensaverech pro Maca

Trojský kůň ve screensaverech pro Maca

Bezpečnostní společnost Intego upozornila, že se objevila Macovská verze Windows spyware, který může odeslat různé potencionálně citlivé údaje na externí servery. Jedná se o spyware označovaný jako "OSX/OpinionSpy", který je distribuován společně s mnoha různými screeensavery třetích stran pro Mac OS X. Objevil se také u jednoho shareware nástroje, který umožňuje oddělit audio stopu z Flashového videa.

Tento spyware se v některých případech tváří jako nástroj pro sbírání informací o zvycích při prohlížení internetu kvůli "marketingovému výzkumu", někdy se instaluje bez upozornění. Ve skutečnosti aplikace běží na pozadí a otevírá zadní vrátka přes HTTP. Pak skenuje připojené disky a odesílá kódované informace na hromadu serverů. Nezapomíná ani na kontrolu příchozích a odchozích paketů a sbírá informace o okolních počítačích na síti. Pak vsune svůj kód do běžících verzích Safari, Firefoxu a iChatu (pouze běžících verzích, verze na disku zůstávají beze změny) a odesílá různé informace - emailové adresy, hlavičky iChat zpráv a URL a další data - zpět na své servery.

Mezi daty, které se takto odesílají jsou hesla, osobní údaje, čísla kreditních karet, záložky prohlížečů, historie a další. Doporučuje se nepoužívat instalátory pro MishInc FLV To Mp3 a screensaverové moduly vytvořené 7art-screensavers. Pokud jste si již tyto moduly nainstalovali, samotné odstranění těchto aplikací/modulů nepomůže. Je nutné odstranit celou aplikaci. Intego pochopitelně k tomuto účelu nabízí svůj program VirusBarrier (s databází, která je ve verzi z 31.5.2010 nebo pozdější). Nenašel jsem, zda open source antiviry jsou schopni detekovat tento spyware. Alespoň ClamAV se o něm (zatím) nezmiňuje a systémový antivir ve Snow Leopardu o něm doposud samozřejmě ještě neví. Uvidíme který z nich bude rychlejší.

Rychle můžete identifikovat, zda máte napaden počítač tak, že se zkusíte připojit na port 8254 pomocí vašeho webového prohlížeče. Dalšími příznaky mohou být: velké využívání CPU, velké přístupy na disk, přístupy z vašeho počítače na více vzdálených serverů na portech 80 a 443 (HTTP a HTTPS). V některých případech působí spyware zamrzání počítačů.

Na security blogu Intega se uvádí tento seznam screensaverů, obsahující spyware (všechny na stránkách http://7art-screensavers.com):

  • Secret Land ScreenSaver v.2.8
  • Color Therapy Clock ScreenSaver v.2.8
  • 7art Foliage Clock ScreenSaver v.2.8
  • Nature Harmony Clock ScreenSaver v.2.8
  • Fiesta Clock ScreenSaver v.2.8
  • Fractal Sun Clock ScreenSaver v.2.8
  • Full Moon Clock ScreenSaver v.2.8
  • Sky Flight Clock ScreenSaver v.2.8
  • Sunny Bubbles Clock ScreenSaver v.2.9
  • Everlasting Flowering Clock ScreenSaver v.2.8
  • Magic Forest Clock ScreenSaver v.2.8
  • Freezelight Clock ScreenSaver v.2.9
  • Precious Stone Clock ScreenSaver v.2.8
  • Silver Snow Clock ScreenSaver v.2.8
  • Water Color Clock ScreenSaver v.2.8
  • Love Dance Clock ScreenSaver v.2.8
  • Galaxy Rhythm Clock ScreenSaver v.2.8
  • 7art Eternal Love Clock ScreenSaver v.2.8
  • Fire Element Clock ScreenSaver v.2.8
  • Water Element Clock ScreenSaver v.2.8
  • Emerald Clock ScreenSaver v.2.8
  • Radiating Clock ScreenSaver v.2.8
  • Rocket Clock ScreenSaver v.2.8
  • Serenity Clock ScreenSaver v.2.8
  • Gravity Free Clock ScreenSaver v.2.8
  • Crystal Clock ScreenSaver v.2.6
  • One World Clock ScreenSaver v.2.8
  • Sky Watch ScreenSaver v.2.8
  • Lighthouse Clock ScreenSaver v.2.8

A pak ještě již zmiňovanou aplikaci MishInc FLV To Mp3 (na adrese http://www.mishinc.info/mac_flv_to_mp3.php) Z bezpečnostních důvodů nejsou odkazy na spyware stránky aktivní.

Asi by bylo vhodné upozornit, že v tomto případě se nejedná o selhání operačního systému jako takového. Ten si od uživatele vždy vyžádá heslo pro instalaci jakéhokoliv balíku, zvláště pokud jako tento Spyware běhá pod účtem administrátora. Je jen na uživateli, aby posoudil zda instalátor instaluje opravdu jen to co má. (Viz tip v QuickLooku a modul Suspicious Package, který umožňuje zobrazit před instalací obsah instalačního balíku) Ale ani v tomto případě nemůže být uživatel kompletně chráněn, protože kód trojského koně může být součástí instalované aplikace. Pro tento případ je zde Sandbox. (Inspiraci můžete nalézt v instrukcích: jak dostat Firefox do sandboxu).

Poslat Trojský kůň ve screensaverech pro Maca na facebook
Publikováno 30.11.2009
 

Změna barev | Autorská práva | Kontakt | Podpora | RSS kanály
© 2006 Gandalf, Design by Mirek
Creative Commons License