Список известных вирусов и троянов для Mac OS X

В этой статье вы найдете данные о вирусах и троянах для Mac OS X, бережно собранные одним из энтузиастов компьютерной безопасности. Поскольку зловреды встречаются довольно редко и очень немногие люди сталкивались с ними живьем, полную и надежную информацию найти нелегко. Вполне возможно, что этот список неполон. Если вам есть, что добавить, пожалуйста оставьте свой комментарий.

Макро-вирусы MS Word

Макро-вирусы появились во второй половине 1990-х годов, задолго до выхода в свет Mac OS X. Их отличительная черта – в универсальности, они работают как на Маке, так и в среде Windows, поскольку используют встроенный в MS Office язык скриптов. Для запуска такого вируса достаточно иметь на своей машине офисный пакет Microsoft и открыть зараженный документ.
Какое-то время они были самыми распространенными и опасными среди всех известных на тот момент вирусов для Mac OS X. Но вот в пакет Office 2004 было встроено предупреждение, появлявшееся при открытии файла, содержащего макросы, а Office 2008 вообще был лишен возможности их использовать. Актуальность зловредов резко понизилась.
Однако же, Office 2011 для Mac вновь оборудован поддержкой скриптов, и старые мертвецы ожили. Поэтому пользователям офисного пакета нелишним будет убедиться, что в настройках программы (на вкладке “Безопасность”) включено предупреждение о запуске файлов, содержащих макросы. Если все-таки вы нарвались на зараженный файл, База знаний Microsoft довольно подробно описывает, как можно деактивировать или удалить макрос (к сожалению, страница на английском, а русский перевод бестолков).

MW2004

Зарегистрированный в начале 2004 года этот троян, написанный на AppleScript, притворялся установщиком Microsoft Word 2004, а на самом деле по-тихому удалял домашнюю папку пользователя. В каком-то смысле, это было наказание любителям пиратского софта. На сегодняшний день вероятность встречи с ним крайне мала.

Renepo/Opener

Обнаружен в конце 2004 года. Зловред представляет собой системный скрипт, для запуска которого необходимы права супер-администратора (root). Если эта цель достигнута, он открывает несколько портов на зараженном Маке, по которым можно получить удаленный доступ и натворить дел. На сегодняшний день известно, что автор скрипта, кто бы он ни был, потерял к нему интерес и пользоваться дырами на вашей машине просто некому.

Cowhand

В апреле 2005 троян был упомянут в отчете компании Sophos. Описание зловреда довольно размытое, и не очень понятно, что конкретно должен был делать этот экземпляр. Учитывая отсутствие информации из других источников, можно предположить, что это был опытный экземпляр, так сказать “концепт-троян”, никогда не выходивший на поля глобальной Сети.

Exploit.OSX.Safari/OSX.Exploit.Metadata

Этот красавчик использовал уязвимость Safari, закрытую обновлением безопасности Security Update 2006-001. С тех пор не имеет никакого значения, кроме музейного.

Leap/Oompa Loompa

В 2006 году стало известно о распространении среди пользователей iChat (ныне Messages) изображений, которые на самом деле были троянской программой. После запуска такой картинки троян распространял себя дальше, по всем контактам, хранящимся в iChat. Сегодня нарваться на него практически невозможно, но даже если такое случится, встроенный карантин Mac OS X предупредит вас о том, что эту “картинку” не стоит рассматривать.

Inqtana

Концептуальный вирус 2006-го года выпуска так и не нашел себе широкого применения и после выпуска патча для системы безопасности Mac OS X был забыт.

OSX.Exploit.Launchd

В середине 2006 года еще один концепт-вирус должен был обеспечивать своему создателю права администратора на зараженном компьютере, но не успел проявить себя, поскольку начиная с Mac OS X 10.4.7, уязвимости, на которой он был основан, больше не существует.

Macarena

Вирус – учебное пособие, никогда не существовал в виде исполняемого файла. Чтобы получить реальную заразу, нужно было сначала скомпилировать исходный код, а это возможно только в результате осознанного действия пользователя. После компиляции и запуска вирус не делал ничего предосудительного, всего лишь копировал себя на диск, после чего праздничный салют заканчивался.

RSPlug/DNSChanger/Jahlav/Puper

Троянская программа 2007 года, нацеленная на любителей “клубнички”. При посещении порно-сайта жертва наблюдала приглашение загрузить кодек для просмотра особо “сладких” эпизодов. Естественно, вместо кодека грузился полноценный троян, задачей которого была подмена адресов DNS-серверов в настройках машины. В результате весь трафик зараженных Макинтошей шел через подставные сервера, которые отфильтровывали любую информацию, касающуюся финансовых секретов пользователей.
Несколько позднее троян стал прикидывать на себя другие маски, например, пытался просочиться под видом бесплатной игрушки. Появление в Mac OS X 10.6 функции карантина резко снизило вероятность подцепить эту заразу, полностью потерявшую актуальность в 2011 году, после ареста ее создателей.

MacSweeper/Immunizator

15 января 2008 года спецы компании F-Secure обнаружили этот кусок кода и классифицировали его как “первое мошенническое приложение для Mac OS X”. По своим повадкам оно было очень похоже на появившийся значительно позже MacDefender. На сегодняшний день в природе не существует ни само приложение, ни сайт, с которого он начинал свое распространение.

AsTHT/Hovdy/ApIS.Saprilt

В середине 2008 года некоторое время существовал зловред, написанный на языке AppleScript, эксплуатировавший уязвимость агента Apple Remote Desktop. Он позволял открыть удаленный доступ к зараженному компьютеру, однако после выхода обновления безопасности за номером 2008-005, содержащего “прививку” для агента, стал одним из музейных экспонатов.

PokerStealer/Corpref

Младший (но более хитрый) брат предыдущего экземпляра. Так же пользовался уязвимостью ARD, но имел обличье игры в покер, в процессе которой спрашивал у пользователя пароль, если тот имел желание сменить интерфейс софтинки. Дальше, понятно, открывал удаленный доступ к машине. Бесславно сгинул после выхода вышеупомянутого обновления безопасности.

Lamzev/Malev

Это всего лишь хакерский инструмент удаленного администрирования, его нельзя назвать полноценным трояном. Закавыка в том, что злоумышленник должен сначала получить физический доступ к машине, а иначе толку не будет. Даже если вы имеете привычку раздавать свой Macbook кому попало, маловероятно, что вам запустят этого “таракана”. Разве что вы работаете на Службу внешней разведки…

iServices/iWorkServices/Krowi

Классический троян, найден в начале 2009 года. Как и положено, выдавал себя за другого. Распространялся через торренты в качестве нагрузки к взломанному софту – сначала пакету iWork, от которого и получил название, а потом и к другим программам. Зараженная машина входила в состав ботнета и послушно участвовала в организованных атаках на веб-сервера. После появления в Mac OS X функции карантина остался не у дел.

Tored

Корявый кусок кода, написанный восьмиклассником. По сути троян, но распространялся как вирус, используя email. Был настолько неумело написан, что не справлялся со своей работой даже 5 лет назад, чем вызывал пренебрежительную усмешку у спецов. Сегодня абсолютно точно не представляет опасности.

HellRTS/Pinhead/Hellraiser

Троян, прятавшийся в пиратских копиях iPhoto. Обнаружен в апреле 2010 года, а в июне (с выходом Mac OS X 10.6.4) был занесен в “черный список” Apple. Толковых подробностей о зловреде практически нет, упоминали о нем только производители антивирусного ПО, но информация была очень разноречива. В любом случае, тот, кого не угораздило однажды качнуть ломаный вариант iPhoto, может не беспокоиться о заразе вне зависимости от версии операционной системы. Об остальных позаботится карантин, но для этого ваша ОС должна быть не старше лета 2010 года.

OpinionSky/Premier Opinion/Spynion

Шпионская программа, отловленная в июне 2010 года компанией Intego. Пошла в широкие массы в комплекте со скринсейверами. Успеха не имела, поскольку написана была таким образом, что в процессе установки вываливала уведомление, предупреждала, что планирует собирать личные данные и просила согласия пользователя на установку. В марте 2011 была добавлена в карантин Mac OS X.

Koobface

Полноценный “червяк”- умеет не только заражать, но и распространять себя по сети. Придуман нашими соотечественниками. Представляет собой Java-апплет, изначально создан под Windows, где и начал триумфальное шествие в 2009 году, а в 2010-м перебрался на Mac OS. Обитал в социальных сетях, для заражения успешно использовал присущее каждому человеку любопытство и “заряженный” апдейт для Flash-плеера. После установки Koobface делал зараженную машину звеном большого ботнета и собирал информацию о паролях доступа к соцсетям (в первую очередь – Facebook), электропочте, Skype, FTP-серверам. Все это использовалось только для расширения сферы влияния. Червь умел даже создавать липовые учетные записи в социальных сетях. А конечной целью задумки было получение прибыли за счет скрытой установки дополнительных программных модулей и показа рекламы владельцам зараженных машин. И она была достигнута – по некоторым подсчетам, только за один год, начиная с июня 2009, все заинтересованные лица заработали около $2 миллионов. В процессе проникновения зловреда на Мак система предупреждала о том, что некий Java-апплет запрашивает добро на запуск, то есть внимательный и осторожный пользователь имел возможность предотвратить заражение. Возможно, по этой причине спецы компании Intego, обнаружившие Mac-версию червя, присвоили ему низкий уровень опасности. Но в любом случае, месяцем позже в Британии были конфискованы три командно-управляющих сервера ботнета. И это было началом конца. В феврале 2011 червь прекратил деятельность в Facebook, еще через год были опубликованы имена его создателей, что вынудило их срочно свернуть свою деятельность. Сейчас опасность этой заразы практически нулевая, особенно если учесть пристальное внимание Apple к безопасности Java после эпидемии Flashback.

BlackHole RAT/MusMinim/DarkHole

Инструмент удаленного администрирования системы в помощь начинающему хакеру. Размещался на специально подготовленных веб-сайтах, для заражения использовал все известные уязвимости Mac OS X. Если вы следите за обновлениями операционной системы и всех плагинов браузера (особенно Java и Flash), а тем более – если у вас они отключены, эта штука вряд ли сможет поселиться на вашей машине.

MacDefender/MacSecurity/MacProtector/MacGuard/MacShield

Один из первых фальшивых антивирусов для Макинтоша. Для распространения использовалась сеть невинных веб-сайтов с подсаженным Java-скриптом, который перенаправлял посетителей на один из специально нарисованных сайтов. Там посетителю начинали вещать о том, что его машина заражена и изображали “он-лайн сканирование” жесткого диска. Между тем, клик на любом активном элементе сайта запускал загрузку трояна, и если в Safari был включен автозапуск загружаемых файлов, процесс установки заразы успешно завершался без всякого участия пользователя. Дальше он постоянно выводил на передний план окно с сообщением о найденных вирусах. И предложением купить анти-вирусную программу. Естественно – с помощью кредитной карты, данные которой и были конечной целью создателей трояна. Через три недели после обнаружения фальшивки Apple выпустила разъяснения на тему, а еще через неделю – обновление системы безопасности Mac OS X. Его установка добавляла во встроенный карантин XProtect описание MacDefender, включала ежедневную автоматическую проверку обновлений карантина (чего раньше не было) и запускала средство удаления трояна. Существует мнение, что обработкой украденных трояном данных занималась крупная российская процессинговая компания. Прямых доказательств нет, однако арест главы компании и закат активности MacDefender примерно совпали по времени, и с осени 2011 года зловред больше не беспокоит маководов.

Qhost/HostMod

Троян обнаружен в августе 2011 года. Не отличался оригинальностью и маскировался под установщик Flash-плеера. Задачей зловреда было перенаправление запросов к поисковой системе Google. Вместо стандартной страницы выдачи результатов поиска пользователю подсовывали нарисованную, каждый клик на которой открывал новое окошко браузера, назначение которого осталось невыясненным. Сервер, обрабатывающий запросы, просто не работал должным образом. Возможно, создатель трояна планировал показывать рекламу. Может быть, что-то еще… Сейчас это уже не имеет значения, поскольку в том же месяце описание Qhost было включено в список XProtect.

Revir/Imuler/Muxler

Троян, отловленный в сентябре 2011 года, притворялся pdf-файлом и включал в себя 2 активных элемента. Первый, под названием Revir, будучи запущенным неосторожным пользователем, открывал настоящий pdf, чтобы не вызывать подозрений, и параллельно загружал из Сети партнера, получившего имя Imuler. Этот второй и проводил всю “полезную” работу – открывал на машине порты, соединялся с командным сервером и ждал от него указаний. На сегодняшний день сервер не проявляет никакой активности, поэтому уровень опасности можно считать нулевым, однако в будущем ситуация может измениться.

Flashback

Вероятно, самый известный и самый удачный зловред для Mac OS X. По разным оценкам, смог заразить от 500 до 700 тысяч Макинтошей по всей планете. Кроме того, отличался разнообразием модификаций и относительно продолжительным периодом активности: с сентября 2011 по май 2012 года. Начинал как обычный троян, проникая на компьютер под видом обновления для Adobe Flash, и отлавливал любую информацию, касающуюся финансовых транзакций – номера кредиток, пароли доступа к банковским счетам и т.п. Чуть позже он научился отключать карантин операционной системы XProtect, однако не жаловал компьютеры, на которых была установлена антивирусная программа, либо файрволл Little Snitch, либо среда разработки Apple Xcode. Такие машины он не заражал. Большого успеха поначалу не получилось. Все изменилось в феврале 2012 года, когда появился новый вариант, использующий уязвимость Java. Теперь это был не совсем троян – не надо было прикидываться полезным приложением, чтобы получить доступ к вашему жесткому диску. Достаточно было просто иметь браузер с активированным плагином Java и сходить этим браузером на зараженный сайт. Тут уже началась эпидемия и счет зараженных машин пошел на сотни тысяч. Направление удара было выбрано очень удачно – Apple долгие годы поддерживала собственную версию Java и обычно не спешила с выпуском патчей безопасности. Если добавить традиционное невнимание пользователей к регулярному обновлению системы и пренебрежение антивирусной защитой, успех Flashback станет вполне понятен. Однако после выхода обновлений безопасности, принудительно отключавших исполнение Java-кода в браузерах, история зловреда очень быстро пошла к финалу. Уже в июне 2012 года количество заражений резко упало и несмотря на то, что специалисты антивирусных компаний все еще регистрируют слабую активность со стороны оставшихся “непролеченных” машин, опасности эта малварь больше не представляет. Если хочется быть уверенным в чистоте своей машины, можно скачать утилиту удаления Flashback, выпущенную Apple.

DevilRobber/Miner-D

FinFisher

FileSteal/HackBack/KitM

Tibet/MacControl/MaControl/MacKontrol

Обнаружен в марте 2012 года. По методам проникновения на компьютер похож на Flashback – так же использует уязвимые версии Java. По каким-то причинам был направлен исключительно против членов движения за независимость Тибета. Это собственно все, что известно о нем. Производители антивирусов практически проигнорировали существование Mac-версии трояна, то ли из-за невысокой степени риска для большинства пользователей, то ли в надежде подстегнуть продажи своих продуктов. В любом случае, простое отключение Java-плагина в браузере избавит вас от возможности встречи с этой “загадкой”.

Sabpab/Sabpub/Mdropper/Lamadai/Olyx

FkCodec/Codec-M

Maljava

GetShell/ShellCode/MetaData/TESrel

Crisis/Morcut/DaVinci

NetWeird/Wirenet

Jacsbot

Dockster

SMSSend

Pintsized

CallMe

Minesteal

KitM

Janicab

ClickAgent

Leverage

Icefog

LaoShu

Компания Sophos отловила этого трояна в конце января 2014 года. Он использовал не особо оригинальную схему распространения: в почтовый ящик падало фальшивое письмо от почтовой службы FedEx с уведомлением о доставленном отправлении. Если неосторожный, но любопытный читатель пытался перейти по указанной в письме ссылке, происходила загрузка файла с расширением pdf, который на самом деле был замаскированным приложением. После запуска файла троян обосновывался в системе и устанавливал связь с управляющим сервером. Заложенные в него возможности позволяли находить и передавать на сервер определенную информацию, загружать и устанавливать приложения, выполнять скрипты… обычный джентльменский набор.Один из встроенных барьеров безопасности Mac OS X создатели зловреда надеялись преодолеть за счет цифровой подписи зарегистрированного разработчика (Developer ID в терминологии Apple), которая была в наличии. Но на другом уровне троян спотыкался: при попытке открыть липовый pdf-файл Mac OS X выводила предупреждение о том, что на самом деле пользователь собирается запустить приложение. Если принять во внимание эту недоработку, а также оперативную реакцию Apple, заблокировавшую засвеченный Developer ID, можно считать LaoShu не особенно опасным.

CoinThief

Троян попался 10 февраля 2014 на воровстве виртуальной валюты Bitcoin. Распространялся под видом бесплатного клиента для проведения платежей в этой самой валюте под названием StealthBit. Приложение не имело подписи Developer ID, то есть Gatekeeper автоматически блокировал его запуск (при условии, что настройки параметров безопасности Mac OS X имели значение “как надо”). Однако пострадавшие были к этому готовы. Сняли защиту собственными руками и… расплатились собственными денежками. Уже через 3 дня после обнаружения Apple внесла нарушителя порядка в список XProtect, так что на сегодняшний день Mac OS X способна обеспечить своему пользователю защиту от посягательств со стороны крипто-воров.

KeRanger

Первый полноценно работающий на OS X представитель ransomware – троянов-шифровальщиков, предназначенных для вымогательства денежков. Обнаружен 4 марта 2016 года и довольно быстро обезоружен. По примерным оценкам, масштаб нанесенного ущерба невелик – зараженный дистрибутив успели скачать около 7000 человек. Проблема в другом – зловред оказался вполне рабочим, а значит, в ближайшем будущем вполне вероятно появление более продвинутых и опасных экземпляров. В исходном коде KeRanger обнаружены участки, задающие функциональность, которая пока не использовалась, но без труда может быть подключена в следующих версиях трояна.

Ссылка на основную публикацию