Установщик трояна под видом Flash Player
Хотя на фронте вредоносных программ для OS X было относительно тихо с тех пор, как рейд на российскую платежную компанию ChronoPay, по-видимому, уничтожил MacDefender почти два месяца назад, в начале этого месяца появился новый троян. Как подробно описано F-Secure, троян, известный как «OSX.QHost.WB.A», маскируется под установщик Flash Player, но фактически добавляет записи в файл hosts компьютера для перенаправления пользователей, пытающихся посетить определенные сайты Google.
После установки троян добавляет записи в файл hosts, чтобы перехватывать пользователей, посещающих различные сайты Google (например, Google.com.tw, Google.com.tl и т.д.), и перенаправлять их на IP-адрес 91.224.160.26, который находится в Нидерландах.
Сервер по IP-адресу отображает поддельную веб-страницу, разработанную так, чтобы выглядеть похоже на легитимный сайт Google.
Результаты поиска на поддельных страницах Google фактически приводят к всплывающим окнам, которые загружают внешний контент, не работавший на момент обнаружения, но предположительно состоявший из какой-либо рекламы. Хотя угроза в том виде, в котором она была реализована на момент обнаружения, была относительно незначительной, неопытные пользователи, попавшиеся на троян, могли бы не осознавать, что произошло с их системами, и как исправить перехваченный маршрут, добавленный вредоносным ПО.
Следовательно, на этой неделе Apple внесла первое существенное дополнение в свой файл «XProtect.plist» с момента появления вариантов MacDefender в июне. Файл XProtect.plist содержит определения вредоносных программ, позволяющие системам пользователей распознавать и предупреждать пользователей о вредоносных загрузках, функция, которая дебютировала с Mac OS X Snow Leopard еще в 2009 году.
Первоначальная система борьбы с вредоносными программами требовала ручных обновлений для учета новых угроз, и поэтому Apple обновляла ее лишь редко в рамках более крупных обновлений программного обеспечения. Но с помощью обновления программного обеспечения Apple, выпущенного в ответ на угрозу MacDefender ранее в этом году, системы Mac OS X теперь могут ежедневно проверять наличие обновлений этого файла, чтобы обеспечить защиту от вредоносного ПО в актуальном состоянии.
