Диалоговое окно с оповещением безопасности, сгенерированное при попытках установки вредоносного ПО

Вчера компания SecureMac, специализирующаяся на антивирусном ПО для Mac, выпустила оповещение о новом вредоносном ПО, способном заражать системы под управлением Mac OS X, используя метод троянской лошади для развертывания Java-ориентированного полезного компонента, обеспечивающего широкий спектр вредоносных функций.

Троянская лошадь trojan.osx.boonana.a распространяется через сайты социальных сетей, включая Facebook, маскируясь под видео. В настоящее время троян появляется в виде ссылки в сообщениях на сайтах социальных сетей с темой «Это ты на этом видео?»

Когда пользователь переходит по зараженной ссылке, троян изначально запускается как Java-апплет, который загружает на компьютер другие файлы, включая установщик, запускающийся автоматически. При запуске установщик изменяет системные файлы, чтобы обойти необходимость ввода паролей, предоставляя внешний доступ ко всем файлам в системе. Кроме того, троян настраивает себя на невидимую работу в фоновом режиме при запуске и периодически связывается с серверами управления и контроля для передачи информации о зараженной системе. Во время работы троянская лошадь перехватывает учетные записи пользователей, чтобы дальше распространяться через спам-сообщения. Пользователи сообщают, что троян распространяется как по электронной почте, так и через социальные сети.

Конкурирующая антивирусная компания Intego ответила собственным уведомлением, преуменьшая непосредственную угрозу от вредоносного ПО из-за того, что оно, по-видимому, не функционирует должным образом.

Хотя Intego имеет доказательства нескольких случаев заражения в реальных условиях, в настоящее время мы не можем пойти дальше этого шага, поскольку либо вредоносное ПО содержит ошибки, препятствующие его правильной работе, либо серверы, с которыми оно связывается, неактивны или не предоставляют нужные файлы.

Потенциально, если оно установится корректно, оно будет функционировать так же, как червь Koobface, работающий на Windows. Он запускает локальный веб-сервер и IRC-сервер, действует как часть ботнета, как сменщик DNS и может активировать ряд других функций, либо через первоначально установленные файлы, либо через другие файлы, загруженные впоследствии. Он распространяется путем размещения сообщений на Facebook, MySpace и Twitter, обычно пытаясь заставить людей перейти по ссылке, чтобы посмотреть какое-либо видео.

Хотя это особенно вредоносное программное обеспечение, текущая реализация для Mac OS X несовершенна, и, следовательно, угроза невелика.

Обе компании удобно отметили, что предлагают продукты, способные идентифицировать и устранять вредоносное ПО, хотя пользователи без защитного программного обеспечения должны быть предупреждены о попытке установки вредоносного ПО, генерирующей диалоговое окно Mac OS X относительно предпринятого действия.