Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ukradkowe aktualizacje od firmy Apple

Marco Preuss
Kaspersky Lab Expert
Dodany 23 marca 2011, 08:45 CET

Apple opublikował nową wersję swojego systemu - MacOS X 10.6.7 – wraz z kilkoma poprawkami i łatkami bezpieczeństwa. Zestaw łatek zawiera również „ukradkową” aktualizację dla wbudowanej w ten produkt funkcji antywirusowej Xprotect.

Xprotect

Wraz z wydaniem systemu Snow Leopard (Mac OS X 10.6) firma Apple wprowadziła podstawową ochronę antywirusową w postaci narzędzia XProtect. Skanuje ono w poszukiwaniu zagrożeń uruchamiane pliki, które zostały pobrane za pośrednictwem aplikacji Safari, Mail, iChat, Firefox i kilku innych. Nowe sygnatury zagrożeń są pobierane przez systemową funkcję „Uaktualnienia programów”.

Dotychczas baza danych narzędzia XProtect zawierała sygnatury trzech dobrze znanych zagrożeń dla systemu Mac OS X:

  • OSX.RSPlug.A – program zmieniający lokalne wpisy dotyczące DNS, atakujący komputery za pośrednictwem sfałszowanych kodeków wideo;
  • OSX.Iservice – program atakujący strony WWW (atak DDoS), dołączany do pirackich kopii legalnych aplikacji;
  • OSX.HellRTS – znany także jako HellRaiser – narzędzie pozwalające cyberprzestępcy na uzyskanie pełnego dostępu do systemu ofiary. Wersja 4.2 narzędzia była dostępna publicznie, natomiast za wersję 4.4 autor życzy sobie 15 dolarów amerykańskich na forach podziemia cyberprzestępczego.

6144.png

Nowe uaktualnienie systemu Mac OS X

Uaktualnienie 10.6.7 dodaje do narzędzia XProtect sygnatury trojana „OSX.OpinionSpy”. Został on dołączony do wielu wygaszaczy ekranu i aplikacji zamieszczonych w połowie 2010 r. na popularnych portalach z oprogramowaniem dla Maków. Trojan jest także znany jako PremierOpinion, a jego działanie polega na gromadzeniu danych użytkownika i wysyłaniu ich na różne serwery. Trojan działa z uprawnieniami administratora, zatem może wykonywać dowolne działania na zainfekowanym komputerze.
Po uruchomieniu programu instalacyjnego dostarczonego wraz z trojanem użytkownik jest proszony o podanie hasła administratora, co jest typowe dla procesu dodawania nowych aplikacji w systemie Mac OS X. Podając hasło, użytkownik daje szkodnikowi pełny dostęp do swojego systemu. Dodatkową funkcją trojana jest wstrzykiwanie kodu do aplikacji Safari, Firefox oraz iChat, co pozwala mu na przechwytywanie dodatkowych informacji.

Rozwiązania Kaspersky Lab wykrywają tego trojana jako „Trojan.OSX.Spynion.a” już od 2 czerwca 2010 r. Od tego czasu otrzymaliśmy 13 zgłoszeń od użytkowników, którzy natknęli się na to zagrożenie, głównie z Indii.
Ponieważ liczba sygnatur zagrożeń publikowanych przez firmę Apple ciągle zwiększa się, użytkownicy Maków powinni zwracać coraz większą uwagę na bezpieczeństwo oraz szkodliwe oprogramowanie.