Вирусописатели целятся в Mac
14.10.11, Пт, 15:16, Мск,
Текст: Сергей Мажаров
Угрозы для пользователей компьютеров Mac постоянно нарастают. С момента своего обнаружения в прошлом месяце троянские вирусы, написанные специально для машин Apple, обзавелись несколькими приемами, позволяющими им оставаться невидимыми.
Обновления трояна Flashback, которые устанавливаются, маскируя себя как обновления Adobe Flash, теперь предотвращают запуск на машинах Mac системы VMware Fusion. Подобное программное обеспечение виртуализации обычно используется исследователями в сфере безопасности для проверки поведения образцов вредоносного ПО, потому что по окончании работы легче удалить виртуальный экземпляр, чем форматировать жесткий диск и переустанавливать операционную систему.
Эксперты провайдера антивирусов Intego отметили в своем блоге в четверг, что когда инсталлятор троянца Flashback.D, который пользователи получают обманным путем, начинает установку, программа проверяет, запущен ли Fusion на Mac. Если да, установка не выполняется. Вирусы для ОС Windows делали то же самое в течение многих лет.
Разработчики Flashback также пересмотрели код так, что он уже не устанавливает себя в простом для просмотра месте операционной системы ~/Library. Вместо этого он организует черный ход внутри папок, связанных с браузером Safari. При этом удаление файлов приведет к отказу запуска браузера.
Подобное блокирование и сокрытие вредоносных файлов стали весьма распространенной технологией при создании вредоносных программ для Windows. Дополняя их, Flashback реализует аналогичные методы, которые теперь принимаются на вооружение хакерами, ориентирующимися на Mac. Исследователи Intego подчеркивают, что происходящие изменения говорят о готовности авторов этих программ создавать все более сложное вредоносное ПО.
В другом блоге исследователи конкурирующей антивирусной компании F-Secure говорят, что знакомство с применением виртуальной изоляции вирусов восходит к более ранней версии вредоносного трояна - Flashback.B. «Похоже, что авторы вредоносных программ для Mac ожидают, что исследователи начнут использовать виртуальные среды во время анализа, и предпринимают шаги, чтобы воспрепятствовать такой деятельности», - говорится в сообщении.
Разработчики вирусов постоянно вносят новое в них для эффективного заражения компьютеров Mac. По словам обозревателя в области безопасности Брайана Кребса (Brian Krebs), Trojan-Dropper: OSX / Revir.A - еще один, недавно обнаруженный троянец для Mac, «бросает вызов широко распространенному среди пользователей Mac мнению, что вредоносное ПО не устанавливается без явного согласия пользователя».
