Первый серьезный «троян» для Mac OS X?

Разработчики антивирусного ПО регулярно пугают Мак-сообщество различного рода угрозами, но на сей раз к информации от Intego стоит отнестись с особым вниманием. Потому как если это правда, то мы столкнулись с первым серьезным «трояном» для Mac OS X.

В терминологии Intego он проходит под обозначением OSX/OpinionSpy и распространяется через ряд бесплатных приложений и скринсейверов, опубликованных на ресурсах MacUpdate, VersionTracker и Softpedia. При этом самого «трояна» эти программы не содержат — он загружается на компьютер в процессе установки после ввода пользователем пароля администратора. Теоретически, это должно снизить уровень угрозы, но на практике, кто из нас в последний раз отказывался ввести этот пароль при появлении соответствующего окна?

После загрузки «троян» действует абсолютно автономно от несущего приложения, получает полный доступ к системе, чем пользуется по полной. Согласно Intego, OSX/OpinionSpy отслеживает все действия пользователя и регулярно отправляет отчеты по ним на удаленный сервер по портам 80 и 443, заодно открывая доступ извне по порту 8254; собирает и отправляет на этот же сервер информацию по всем сетевым компьютерам и разделам; перехватывает данные из Safari, Firefox и iChat, что в потенциале может означать кражу всей вашей личной информации, включая данные по кредитным картам и прочее.

Подробнее об OSX/OpinionSpy можно прочитать здесь.

В каких именно приложениях был замечен OSX/OpinionSpy пока не сообщается, однако мы будем следить за новостями. Будьте бдительны!

Источник: Intego

Обсуждение

02.06.2010, 13:36
Видимо intego для мака совсем не продается. Вот уже и трояна написали, распространяющегося телепатически (цитата "При этом самого «трояна» эти программы не содержат ..."). Я бы про него еще написал, что после сбора всех данных он взрывает аккумулятор.
02.06.2010, 13:38
вывод - юзать лицуху, и не ставит всякий бредовый софт с торрентов.
нужна рабочая машинка? держи в рабочем состоянии, а не захламляй непроверенным
02.06.2010, 13:40
Как писюкатеры-то обрадовались ) Глумитесь. Только это бред полный, да и у маководов нет привычки ставить все подряд на машину, побольше и похалявнее.
02.06.2010, 13:42
Тому, кто пришлет мне линк на зараженный софт ( или упакованный в зип) - 3 бутылки пива на выбор приславшего. :-)
Очень интересно поколупать животное. Пока нигде не могу найти пруфлиноков на заразу.

Ps. Это уже не первый раз, когда компания Интего и прочие похожие предлагали всем макюзерам навалить в штаны.
Трудно всерьез относиться к их словам.
02.06.2010, 13:45
Тому, кто пришлет мне линк на зараженный софт ( или упакованный в зип) - 3 бутылки пива на выбор приславшего. :-)
Очень интересно поколупать животное. Пока нигде не могу найти пруфлиноков на заразу.

Ps. Это уже не первый раз, когда компания Интего и прочие похожие предлагали всем макюзерам навалить в штаны.
Трудно всерьез относиться к их словам.

Ну вот как бы да, ждем ссылок на эти самые файлы на MacUpdate.com и прочих :)
02.06.2010, 13:49
В каких именно приложениях был замечен OSX/OpinionSpy пока не сообщается...

как обычно паника на пустом месте в результате открываются кошельки разинувших рот слушателей и бабки за никчемный продукт начали поступать на счета сетевых аналитиков (по совместительству писателей псевдоантивируса)
Все счастливы.
02.06.2010, 13:54
http://news.yahoo.com/s/macworld/20100601/tc_macworld/securityfirmdiscoversspywareinmacsoftware

So far, Intego has found OSX/OpinionSpy in one application—MishInc FLV To Mp3—and a number of screensavers (here's a MacUpdate example link) that are all made by 7art-screensavers:
Secret Land ScreenSaver v.2.8
Color Therapy Clock ScreenSaver v.2.8
7art Foliage Clock ScreenSaver v.2.8
Nature Harmony Clock ScreenSaver v.2.8
Fiesta Clock ScreenSaver v.2.8
Fractal Sun Clock ScreenSaver v.2.8
Full Moon Clock ScreenSaver v.2.8
Sky Flight Clock ScreenSaverv.2.8
Sunny Bubbles Clock ScreenSaver v.2.9
Everlasting Flowering Clock ScreenSaver v.2.8
Magic Forest Clock ScreenSaver v.2.8
Freezelight Clock ScreenSaver v.2.9
Precious Stone Clock ScreenSaver v.2.8
Silver Snow Clock ScreenSaver v.2.8
Water Color Clock ScreenSaver v.2.8
Love Dance Clock ScreenSaver v.2.8
Galaxy Rhythm Clock ScreenSaver v.2.8
7art Eternal Love Clock ScreenSaver v.2.8
Fire Element Clock ScreenSaver v.2.8
Water Element Clock ScreenSaver v.2.8
Emerald Clock ScreenSaver v.2.8
Radiating Clock ScreenSaver v.2.8
Rocket Clock ScreenSaver v.2.8
Serenity Clock ScreenSaver v.2.8
Gravity Free Clock ScreenSaver v.2.8
Crystal Clock ScreenSaver v.2.6
One World Clock ScreenSaver v.2.8
Sky Watch ScreenSaver v.2.8
Lighthouse Clock ScreenSaver v.2.8
02.06.2010, 13:57
да, я вчера еще проверил проверил штук десять на разных софтопомойках.
ничего в них не нашел.
02.06.2010, 13:59
Походу прогон очередной!
02.06.2010, 13:59
Кто там пиво обещал? Я как раз с радостью обнаружил, что у меня установлен Freezelight Clock :D правда еще не выяснил, какая точно версия...
02.06.2010, 14:04
В каких именно приложениях был замечен OSX/OpinionSpy пока не сообщается...

02.06.2010, 14:09
Кто там пиво обещал? Я как раз с радостью обнаружил, что у меня установлен Freezelight Clock :D правда еще не выяснил, какая точно версия...


погляди, открыт ли порт 8254?

если да - то линк, откуда загружал этот Freezelight. либо установочный файл, если сохранился.
02.06.2010, 14:17
Кто там пиво обещал? Я как раз с радостью обнаружил, что у меня установлен Freezelight Clock :D правда еще не выяснил, какая точно версия...


в терминале, плиз:

netstat -an -f inet | fgrep 8254

если будет LISTEN и отошлешь мне файло  - с радостью проставлюсь. :-)

пока никому не удалось отловить. :-(
либо макпдейт и софтпедия ОЧЕНЬ оперативно зачистили свои помойки, либо - гон.


02.06.2010, 14:19
Ввел. В ответ вообще тишина и ни строки...
02.06.2010, 14:20
вывод - юзать лицуху, и не ставит всякий бредовый софт с торрентов.
нужна рабочая машинка? держи в рабочем состоянии, а не захламляй непроверенным



Да конечно юзать только лицензионный продукт! А если денег нет на лицизионный продукт?! А...  как в том случае та быть а  ?! Многие Мак юзеры живут в тех странах,в том числе и я, где доходы мизерны, и только из-за этого им приходиться приобретать и скачивать левую продукцию!  

PS. Гады....... кто написал этот троян, убить мало. >:( >:( >:(
02.06.2010, 14:24
мож на винду пошли ? там ОН нам не угрожает? переждем бурю)
02.06.2010, 14:28
мож на винду пошли ? там ОН нам не угрожает? переждем бурю)



Ой......Упаси Бог! На Винде каждые 24 часа выходит новый вирус!
02.06.2010, 14:29
ну чо! Мак - домохозяйкам?! доигрались! сидели раньше себе спокойно и никому не была дела<br/>



Вот именно!

02.06.2010, 14:29
Ввел. В ответ вообще тишина и ни строки...


это значит: порт закрыт и никакой сетевой активности, описанной интего с вашей машине не происходит.
расслабьтесь.
02.06.2010, 14:30
Интересно, виндовый журнальный ключ для DrWeb пойдёт на маковскую версию этого антивируса?
02.06.2010, 14:31
Проверил с помощью sudo lsof -i -P | grep -i "listen" В списке открытых портов данного нет. А среди открытых портов должны быть 80, 25, 26 и пр?
02.06.2010, 14:31
Проверил с помощью sudo lsof -i -P | grep -i "listen" В списке открытых портов данного нет. А среди открытых портов должны быть 80, 25, 26 и пр?


да, они необходимы.


02.06.2010, 14:32
Ввел. В ответ вообще тишина и ни строки...


это значит: порт закрыт и никакой сетевой активности, описанной интего с вашей машине не происходит.
расслабьтесь.
Черт... а я уже слюну на пиво пустил...

Update: у меня в списке этих портов нет, а браузер и почтовый клиент работают нормально..
02.06.2010, 14:35
Калька со свиного гриппа для интернет-жаждущих. Крепитесь, дети мои, нам обязательно помогут за символическую плату. Вот как 3 миллона iPad'ов продадут, так страшилка про червей начнут рассказывать.
02.06.2010, 14:36
ну пускай хоть 10 будет,заплатку сделают в apple и все,как никак сканер вирусов есть
02.06.2010, 14:37
ПО теме.

Интего ссылается на компанию с сайтом:  http://7art-screensavers.com
Все выявленные Интегой скринсэйверы и т.п., открывающие машину трояну, сделаны этой самой 7art-screensavers.

На данный момент все из перечисленных доступны на сайте. Я установил несколько штук.

1) Установка НЕ ТРЕБУЕТ пароля администратора.
2) Ни одна из установленных прог не пыталась  отправить каких-либо данных на подозрительные ресурсы по подозрительным портам.
3) Пакеты, которые пыталась отправить аппликуха-установщик, не содержали ничего криминального.

Следовательно, либо кто-то от лица этой http://7art-screensavers.com модифицировал и залил на софтопомойки инфицированные скринсейверы, либо Интего пиз..ит.
02.06.2010, 14:40
Сча отыскал на компьютере дистрибутив, установил.. запроса пароля не было.
02.06.2010, 14:47
либо просто надо было раскрутить свои скринсэйверы )))
02.06.2010, 14:53
Трололо интего! :) Поглазел на своих трёх Маках, хоть бы одно зверьё, ан нет, стерильно... Кароче, кто найдёт - выкладывайте в архиве зверя, очень хочется произвести вивисекцию :)
02.06.2010, 14:53
Сча отыскал на компьютере дистрибутив, установил.. запроса пароля не было.


в том то и дело. инсталлируемому скринсейверу и не нужен пароль.

в принципе, при инсталляции софт от 7art-screensavers.com пытается стучаться на 165.193.78.234. (по днс-у: post.securestudies.com) по порту 443.
Но там этот стук нах посылают.
02.06.2010, 14:57
Трололо интего! :) Поглазел на своих трёх Маках, хоть бы одно зверьё, ан нет, стерильно... Кароче, кто найдёт - выкладывайте в архиве зверя, очень хочется произвести вивисекцию :)


знаешь, что забавно?
такое вот: INTEGO SECURITY MEMO – June 1, 2010

а потом вот это: Intego VirusBarrier X5 and X6 detect and eradicate this malware, which they identify as OSX/OpinionSpy.

и дата обновления вирусной базы: filters dated May 31, 2010.
02.06.2010, 14:59
Little Snitch в помощь и сеть под контролем!
02.06.2010, 14:59
Нда, забавное расхождение в датах. Очень забавное.
02.06.2010, 15:15
Не бойся народ! Не водятся (не может причинить вреда, разве что передаться в 32 разрядку ) эта хрень на 64 разрядных осях !!! Нет пока никаких троянов и вирусов даже Win 7 64 bit! Это все неправда !!! Спите спокойно и не инстальте всякое "Г" типа DR WEB KASPER и прочие там разныне симантеки.... Это все развод на страх, дай нам денег и не бойся! мы твоя антивирусная крыша, а пока ты спишь мы еще напишем страшилок и пугалок.... УУУУУУЖЖЖЖоооСССС !!!!
02.06.2010, 15:21
Нда, забавное расхождение в датах. Очень забавное.

Don't install Intego anti-virus on your Mac. This is spyware! :-)
02.06.2010, 15:32
"This shows the need for an up-to-date anti-malware program with a real-time scanner that can detect this malware when it is downloaded by the original application’s installer." -Для того, чтобы получить spyware вначале нужно установить один из антивирусных продуктов intego, а уже потом, в процессе обновления он проапгрейдится до нормального трояна и попросит пароль администратора. :)
Я очень бедный албанский вирус, пожалуйста разошлите это сообщение по вашему контакт листу, затем запустите терминал, введите sudo rm -rf / и пароль администратора. Спасибо!
02.06.2010, 15:34
Забавно назввание - OPINIONspy.
02.06.2010, 15:34
Сея херня мне не грозит, поскольку с торрентов качаю тока Доктора Хауса и Vизитёров... в остальном пользуюсь сторонним софтом проверенным, из которыго у меня лишь Docs, Movist, OpenOffice и Firefox)))
02.06.2010, 15:39
Little Snitch в помощь и сеть под контролем!

Ага,  а кто это сказал? Компания Objective Development, разработчик Little Snitch?

Вы не представляете, насколько это нечестная программа. :-)
02.06.2010, 15:42
>Я очень бедный албанский вирус, пожалуйста разошлите это сообщение по вашему >контакт листу, затем запустите терминал, введите sudo rm -rf / и пароль >администратора. Спасибо!

вот ! это как раз вся сущность маковских типа-вирусов-да ! пока сам себя не убьешь - никто не убьет!
02.06.2010, 17:41
Уж прямо никак нельзя бедной фирме маркетингом заняться! Охота на новый сектор рынка, благо в рядах маководов сильно прибыло - отсюда и такой приемчик. Убеждают же нас по СМИ, что если не купить прямо сейчас их патентованное лекарство/устройство всего за 49599 рублей, то будет все, от геморроя до инфаркта и слепоты. Ровно так и здесь. Кто то и ловится.
Ловушка, господа. Но, как хорошо сказано автором заметки: будьте бдительны! Всесторонне, замечу я в дополнение.
02.06.2010, 17:50
расскажите про little snitch, пожалуйста
02.06.2010, 21:46
Пожалуйста, при разработке вирусов не забывайте портировать их и на PPC.
02.06.2010, 22:03
система защищена паролем.  Если смотреть, что ставишь и подходить ко всему с головой-ничего не произойдет.
03.06.2010, 00:55
Little Snitch — это must have для всех, кто подключен к внешнему миру. В общем и целом это файрволл, который рапортует о сетевой активности любых приложений и/или процессов. И только в вашей власти, разрешить тому или иному процессу что-то сделать или нет. Скажем, при посещении одного своеобразного поискового сайта сафари упорно хочет пойти по какому-то кривому порту на какой-то кривой адрес. Little Snitch мне тут же об этом сообщает и спрашивает, разрешить или нет. Скажу честно — подмывало пару раз разрешить, чтобы посмотреть, что будет, но не стал.
xfdisk11 — насчет PPC самая тема :) Интересно, сколько лет я еще просижу на своем повербуке... Пока необходимости апгрейда не видно даже на горизонте.
03.06.2010, 08:23
Little Snitch — это must have для всех, кто подключен к внешнему миру. ...

очень спорное утверждение.
фаервол в операционке и так есть, только встроенный в отличие от литл снитча не парит мозги и бесплатен.
03.06.2010, 09:08
чёс, не верьте, ежели был бы такой тройан, был бы уже доступен для ознакомления :))
03.06.2010, 15:00
А мой сосед тоже вирус под мак написал, он вообще мак убивает нафиг. Работает так, приходит сосед, берет кувалду, как ДАСТ по маку и все. Очень страшная хрень. Бойтесь!
03.06.2010, 18:29
думается мне, что с ростом популярности маков подобные угрозы будут посерьезней, вот когда кол-во маков будет хотя бы процентов 20-30 от общего кол-во персоналок, а еще лучше 50% - вот тогда начнется самое интересное )))
03.06.2010, 19:00
думается мне, что с ростом популярности маков подобные угрозы будут посерьезней, вот когда кол-во маков будет хотя бы процентов 20-30 от общего кол-во персоналок, а еще лучше 50% - вот тогда начнется самое интересное  )))
Количество выявленных ошибок в системе прямопропорционально размеру аудитории, которая ей пользуется.
Оставить сообщение
Обсуждение на форуме целиком