В прошлом месяце мы отметили в отчете об обновлении антивирусных инструментов в OS X появление новой угрозы типа троянского коня, известной как Flashback.A, которая маскировалась под установщик Flash Player. Пока Apple продолжала обновлять свой XProtect.plist для обнаружения Flashback.A, компания F-Secure теперь сообщает (через ZDNet) о появлении измененной версии трояна, которая отключает функцию автоматического обновления антивирусных инструментов Apple.
В разработке вредоносного ПО для Mac снова появилось нечто новое.
Недавний анализ показал нам, что Trojan-Downloader:OSX/Flashback.C отключает компонент автоматического обновления XProtect, встроенного в OS X антивирусного приложения Apple.
В отчете подробно описано, как модифицированный троян перезаписывает файлы XProtectUpdater, препятствуя инфицированным системам выполнять ежедневную проверку обновленных определений вредоносных программ и тем самым оставляя дверь открытой для будущих атак.
Установщик Flashback.C
Троян Flashback.C способен подключаться к удаленному хосту для загрузки и выполнения другого кода, но на данный момент неясно, для чего используется эта уязвимость. Пользователям, конечно же, рекомендуется загружать Flash Player и другое программное обеспечение из доверенных источников, чтобы избежать заражения своих систем троянскими программами, такими как Flashback.C.
Обновление: MacRumors получил информацию, а Sophos подтвердил, что Apple уже обновила свои записи XProtect.plist для обнаружения Flashback.C к тому времени, когда новость о нем стала достоянием общественности. Следовательно, пользователи, столкнувшиеся с вредоносным ПО на Mac OS X Snow Leopard или OS X Lion, должны быть автоматически предупреждены об угрозе до монтирования пакета.
