На прошлой неделе компания «Доктор Веб» сообщила про обнаружение ботнета, состоявшего из более чем 550 тысяч компьютеров. И всё бы ничего (новости о выявленных ботнетах появляются с завидной постоянностью), да вот только речь идёт о компьютерах Apple. А они, как принято считать, вообще не подверженными воздействию каких-либо вирусов или троянских программ.
Интересно, что вера в абсолютную устойчивость Мас к вредоносному ПО столь велика, что на сообщение «Доктор Веб» мало кто вообще обратил внимание. И за это время ботнет успел разрастись уже до 600 тысяч компьютеров, заражая всё новые и новые машины трояном BackDoor.Flashback.
Считается, что этот ботнет появился сравнительно недавно, не позднее февраля текущего года. Для его создания злоумышленники воспользовались уязвимостью, которая позже была закрыта заплаткой к Java for Mac. Кстати, 3-го апреля Apple выпустила очередное обновление, установка которого настоятельно рекомендуется.
Так вот, инфицирование происходит следующим образом: зараженная веб-страница (кстати, таковых обнаружили немало — по некоторым данным, более 4 миллионов) содержала Java-скрипт, посредством которого в браузер пользователя загружается эксплойт (прим. ред. компьютерная программа или фрагмент программного кода, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на вычислительную систему), который загружал в компьютер троян. Интересно, что прежде чем начать деятельность, программа проверяла жесткий диск компьютера на наличие популярного ПО, предназначенного для повышения безопасности, например Little Snitch, VirusBarrier или Packet Peeper. И только если такового не было обнаружено, троян начинал свою деятельность. В противном случае он ничем себя не проявлял.
Подавляющее большинство участников ботнета находятся в США и Канаде, значительно меньше их в Европе и Азии. Тем не менее, проверить свой компьютер на наличие трояна будет совсем не лишним.
В Сети уже опубликована информация о том, как это сделать. Все что требуется — это запустить в терминале две команды:
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
и
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
В идеале реакция должна быть такой:
The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist
и
The domain/default pair of (/Users/[имя пользователя]/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist
Если же она отличается, то компьютер заражен. Что делать в таком случае подробно описывается здесь (англ.). И в любом случае обязательно установите все последние обновления. И делайте это регулярно.
«Ничего удивительного в данной ситуации нет. Flash и Java – это двойка лидеров по распространению вредоносного ПО. Особым козырем для них является кроссплатформенность, что увеличивает число потенциально зараженных компьютеров. Данное происшествие лишь в очередной раз доказывает, что никакая ОС не может быть абсолютно устойчивой к нежелательной активности третьих лиц, и снова напомнило про необходимость заботиться о сохранности важных данных”, – Антон Винокуров, специалист по безопасности интернет-лаборатории Netrider.
Из всего этого следует сделать вывод, что времена уже не те и даже владельцам MacOS необходимо озаботиться безопасностью своего компьютера. Необходимо установить если не антивирус, то хотя бы программу вроде Little Snitch, блокирующей нежелательный исходящий трафик. Вылечить вредоносное ПО она не сможет, зато позволит выявить наличие трояна (или же, как было в данном случае, «отпугнет» его своим присутствием).
Кстати, разговоры об абсолютной защищенности MacOS X уже не более чем красивая легенда. Да, эта система значительно превосходит в этом вопросе Windows, однако при желании лазейки можно обнаружить и тут. Другое дело, что система не слишком распространена и не привлекала к себе особого внимания разработчиков вредоносного ПО. Но это пока. Хотя, по данным исследовательской организации по безопасности F-Secure в 2011 году, в период с апреля по декабрь, операционная система Mac OS X пережила 58 различных вредоносных атак.
Что касается Linux и FreeBSD, то на серверных версиях нет графического интерфейса, следовательно Flash там работать не будет. Правда, некоторые Java-приложения могут, но сами по себе они не запустятся. А один из самых распространенных на сегодняшний день дистрибутивов для десктопов Ubuntu по уровню безопасности можно сравнить с уровнем MacOS. То есть Windows остается по-прежнему самой уязвимой системой.
Впрочем, построить ботнет можно из компьютеров с любой ОС. Вопрос лишь в том, насколько сложно это сделать и есть ли смысл. Так, компьютеров с Linux слишком мало, создавать с ними подобное просто бессмысленно. Ботнет – это не так уж и страшно и довольно легко лечится, но осторожность никогда не будет лишней, какими бы именитыми операционными системами и программами защиты вы не пользовались.