Наскільки страшний вірус macdefender для mac?

Користувачі Macintosh в даний час знаходяться в прицілі шкідливої програми (далі для простоти - вірусу), яка видає себе за антивірусне попередження і обманним шляхом змушує людей купити програму, яка їм не потрібна.

Виверт не нова. Так звані ldquo-помилкові антівірусиrdquo- атакують користувачів Windows вже багато років. Але для Mac-комп`ютерів такий вірус був створений вперше.

У даній статті ми розповімо про те, наскільки в дійсності серйозна ця небезпека.

Що за вірус MacDefender?

MacDefender, також відомий як Mac Security і Mac Protector, є помилковою антивірусною програмою, створеною, щоб залякувати людей, повідомляючи їм про те, що їхній комп`ютер заражений вірусом, і що для його лікування їм необхідно здійснити оплату за допомогою кредитної картки.

Люди заражаються помилковими антивірусами при відвідуванні деяких веб-сайтів. Небезпечні сайти створюються з єдиною метою - поширювати шкідливі програми. Причому вони оптимізовані під пошукові запити, тому в результатах пошуку вони з`являються у верхніх рядках.

Подібно наживки, ці сайти використовують картинки, пов`язані з популярними новинами. Так, наприклад, один з таких сайтів був у верхній п`ятірці за запитом інформації про Домініка Стросс-Кана, французькому політиці і директора Міжнародного валютного фонду, звинуваченому в кінці минулого тижня в згвалтуванні. Шкідливі сайти пристосовуються і щодня змінюються, тому блокувати їх не просто.

Наскільки велике поширення вірусу?

Незважаючи на те, що поширення вірусу поки не можна назвати епідемією, схоже, що на очі він попадається частіше, ніж будь-які інші віруси для Mac в минулому. За даними ZDNet.com, представник техпідтримки AppleCare заявив, що обсяг дзвінків в службу підтримки був в чотири-п`ять разів вище, ніж зазвичай, і що більшість з дзвінків були пов`язані з вірусом. "Почалося все з одного дзвінка в день два тижні тому, тепер же через дзвінок. Все стає гірше. І швидко ", заявило анонімне джерело.

Також видавництво ZDNet опублікувало якийсь внутрішній документ Apple з інструкцією для працівників служби підтримки з приводу поведінки під час вступу дзвінків про MacDefender. Інструкція радить працівникам не підтверджувати або заперечувати установку вірусу на комп`ютер абонента, і не намагатися видалити його. У той же час, співробітник ZDNet виявив на discussions.apple.com понад 200 окремих гілок форумів по темі, включаючи коментарі людей, які вже зловили вірус.

За словами компанії Intego, з нею зв`язалася "маса" користувачів, стурбованих вірусом, і що вона вже зібрала десятки прикладів коду. "Новини всі погіршили, змусивши турбуватися користувачів Mac, і вони впевнені, що попередження помилкового антивірусу є реальним", заявив представник Intego. "Це самоподдерживающийся процес".

Apple відмовилася давати коментарі по вірусу.

Як він працює?

Вірус зазнав кілька змін, тому в залежності від його версії, його вікна і повідомлення можуть відрізнятися. Рання версія вірусу представляла помилкові вікна Windows, але пізні версії перейшли на Apple-подібний інтерфейс.

Зазвичай, при кліці по шкідливої зображенні користувач перенаправляється на сайт, де запускається javascript і автоматично завантажує програму. Спливаючі попередження заявляють про виявлення на машині підозрілу активність, про те, що Apple Web Security виявив на машині вірус, і пропонують видалити його.

Клік по кнопці "Ok" викликає появу подібності сканування комп`ютера, потім користувачеві повідомляється про те, що його машина заражена, і клік по "Ok" викликає подобу установника Mac OS, який просить ввести пароль адміністратора до комп`ютера.

Введення пароля викликає установку вірусу і уявлення процесу, який виглядає як ще одне сканування комп`ютера і виводить попередження про можливих інфекціях. Щоб очистити від інфекцій, від користувача вимагається реєстрація та інформація про його кредитну картку.

В інших версіях, всього лише відвідування веб-сайту викликає скачування на жорсткий диск файлу .zip з назвою, на кшталт "MacDefender" або "MacSecurity" і з розширенням .mpkg. Якщо комп`ютер користувача налаштований на автоматичне відкриття "безпечних" файлів, то він побачить вікно з пропозицією установки. Клік по кнопці продовження "continue" викликає появу іншого вікна, що просить ввести пароль адміністратора і встановлює програму. Далі користувач бачить вікно з повідомленням про інфікування його машини, що пропонує опціонально очистити його за реєстрацію та надання інформації про кредитну картку.

Після установки, в меню Mac OS X з`являється новий елемент. Іконка схожа на невеликий оранжевий щит, який при "виявленні" вірусів стає червоним і миготливим. Якщо користувач відмовляється реєструватися і надавати інформацію про свою кредитну картку, вірус починає відкривати в його веб-браузері порно-сторінки, намагаючись змусити його заплатити.

Вірус буде завантажуватися при кожному завантаженні Mac, до його видалення. Також вірус не встановлює іконку в док, тому його не просто закрити. До видалення вірусу, користувачам доводиться завершувати його процес через монітор активності Activity Monitor.

Роботу вірусу можна побачити нижче:

Що я можу зробити для власного захисту?

Чи не відвідуйте неперевірені сайти, особливо ті, що роблять ставку на гарячі новинні теми.

Не встановлюйте програм, якщо тільки вони не виходять з перевірених джерел.

Чи не видавайте свій пароль адміністратора, якщо тільки ви не навмисно встановлюєте програму з перевіреного джерела.

Розгляньте можливість створення двох акаунтів - адміністратора і звичайного аккаунта для звичайного серфінгу веб.

Якщо дивним чином ви бачите вікно інсталятора, блокуйте його. Закривайте дивні попередження і спливаючі вікна (особливо ті, де опції "назад" або "скасування" не виділені), клікаючи по червоній точці у верхньому кутку.

Перемістіть всі підозрілі файли, які, як вам здається, пов`язані з MacDefender з папки завантаженого в кошик. В налаштуваннях Safari зніміть галочку з опції "відкриття безпечних файлів після завантаження".

Розгляньте можливість використовувати таких безкоштовних антивірусів, як Intego і ClamX AV.

Уникайте надання інформації про свою кредитну картку. Якщо ви надали інформацію про свою карту, то негайно зателефонуйте в свою фінансову установу і заблокуйте її.

Це означає, що Mac небезпечний?

Ні. Це означає, що злочинці, які зазвичай орієнтувалися на машини з Windows, тепер орієнтуються і на Mac. За словами блогера Браяна Крібса (Brian Krebs), приблизно під час появи першого MacDefender, на кримінальних андеграундних сайтах з`явився новий кримінальний набір, який спрощує написання ботнет-вірусів для Mac OSX.

Днями ж дослідник безпеки Джошуа Лонг (Joshua Long) напав в своєму блог-пості на Mac App Store, заявивши, що магазин піддає своїх користувачів ризику. Блоггер знайшов в магазині застарілі програми, як мінімум одна з яких містить в собі критичну уразливість безпеки.

Але інші люди, на зразок Джона Грубера (John Gruber), наполягають, що повідомлення про те, що безпека Mac отримала удар, є лише обманом. Представники видавництва ArsTechnica.com поспілкувалися з рядом фахівців підтримки Mac, за словами яких, вони не помітили суттєвих дій з боку Apple. Також один з працівників служби підтримки Apple Store заявив, що до цього місяця йому ніколи раніше не доводилося видаляти з Mac вірус або шкідливу програму.

За словами експертів, Mac-комп`ютери за своєю суттю не є набагато більш захищеними, ніж Windows. Про це, зокрема, заявив Чарлі Міллер (Charlie Miller), який кілька останніх років успішно атакував Safari на Mac в трьох конкурсах Pwn2Own. У разі MacDefender, вірус вимагає дій від користувача, і не використовує уразливості в Mac OS. Крім того, комп`ютери Mac мають вбудований антивірус, хоча, він, схоже, не захищає від MacDefender.

"Існує приблизно 10 шкідливих програм, написаних для Mac, тоді як зі слів Microsoft, кожне чотирнадцяте скачування є небезпечним", заявив Міллер, "Тому це велика новина, тому що рідкісна ".