Ondrej Holzman Mac-datorer attackeras av ny skadlig programvara som tar skärmdumpar utan användarens vetskap och sedan laddar upp filer till tvivelaktiga servrar. Viruset gömmer sig under programmet macs.app. Än så länge är det dock inte särskilt utbrett.
En ny typ av hot mot Apple-datoranvändare hittades på en av deltagarna i Oslo Freedom Forum, en internationell konferens om mänskliga rättigheter som årligen anordnas i Oslo av Human Rights Foundation.
När du har installerat macs.app körs appen i bakgrunden och tar skärmdumpar tyst. Varje tagen bild lagras i en mapp Mac-appen i din hemkatalog där filerna laddas upp till securitytable.org a docsforum.inf. Ingen av domänerna är tillgängliga.
[do action=”tip”]Kontrollera din hemkatalog efter en mapp Mac-appen (se bild).[/do]
Macs.app kan fungera på din Mac eftersom den, till skillnad från annan skadlig programvara, har ett fungerande Apple-utvecklar-ID tilldelat, vilket innebär att den överskrider Gatekeeper-skyddet. Identifikationsnumret tillhör en viss Rajender Kumar och Apple har möjligheten att frysa hans rättigheter, vilket troligen också skulle göra viruset omöjligt att fungera. Så vi kan förvänta oss ett tidigt ingripande från det kaliforniska företaget.
Det är bra att veta. Men varför i hela friden skulle jag installera det (är det en .app eller ett installationspaket)?
F-secure undersöker för närvarande skadlig programvara för att bättre fastställa dess ursprung, installationssätt och hur den körs.
Jag har inte fått reda på i vilken form den laddas ner exakt, men när du har den på din dator så startar den automatiskt när du startar din dator. Jag ser dock inte om den behöver installeras.
Logiskt sett måste användaren köra det, den enda frågan är om den är "buntad" med någon applikation, oavsett om den är laglig eller knäckt, eller om ett e-postmeddelande som "Nakenbilder av , kör mig nu" kommer och användaren startar det.
Eftersom det ser primitivt ut (det går väldigt enkelt att skriva i AppleScript) och eftersom det skriver till användarens mapp så borde det inte ens behöva ett administratörslösenord, utan jag dömer bara av bilden och informationen i artikeln, det kanske är annorlunda :)
Om det startar efter start, skulle jag säga att det måste slutföra installationen (även demonen eller själva applikationen). Hur som helst, som DJManas skriver, skriver den det till användarens mapp precis så att det inte behövs något lösenord. Jag förstår inte varför den skriver det i "MacApp" och inte ".MacApp" - på så sätt skulle ingen som inte har dolda filer synliga (så 90% av människorna) märka det.
Det jag ser som ett större problem är att någon använde sitt eget utvecklar-ID för att komma förbi GateKeeper – här måste Apple reagera väldigt snabbt och förbjuda dessa individer för alltid. Jag kanske kunde se det på någon "rapportera som spam/virus"-funktion, gömd någonstans djupt, så att Apple omedelbart borde börja hantera det varje gång det får mer än 1 sådan notifikation om applikationen.
Jag erkänner att jag inte har mitt officiella utvecklar-ID, men jag tror att det räcker med att skapa ett e-postmeddelande, betala för ett medlemskap, även för 900,- per år, och användaren är "live" och kan spela ( om han inte lägger det direkt i AppStore), vilket kan ge tillfredsställelse, men jag vet inte exakt hur det fungerar, någon vänligen rätta mig.
Å andra sidan kan användare ha GateKeeper avstängd för att de installerar saker från webben, och jag ska erkänna att jag stängde av det också, eftersom det inte låter mig installera en app som jag normalt använder, jag antar att det var OnyX då (nyinstallerad 10.8) och den upptäckte inte jag undrar om de redan är officiella utvecklare och jag kan slå på den...
Jag inaktiverade det också för min fru eftersom jag utvecklade ett par "appar/skript/widgets" som bara hon och jag använder och hon lät mig inte installera det på hennes OSX...
Jag rekommenderar att du slår på Gatekeeper och om du vill installera en applikation som inte är signerad högerklickar du bara på paketet/appen och klickar på Öppna. Det finns då en möjlighet att kringgå Gatekeepern i detta fall. Jag gör det själv och det verkar säkrare för mig - jag kan också installera osignerade applikationer, men Gatekeeper håller ett öga på allt annat.
Tack, det här visste jag inte