Flashback kötü amaçlı yazılımı ne yapar?


5

Flashback kötü amaçlı yazılımını OS X makinenizden kaldırma konusunda bir soru vardı , ancak ne yaptığı konusunda net değilim. Flashback kötü amaçlı yazılımı Mac'inize yüklendikten sonra tam olarak ne yapar?


1
Bu mükemmel bir soru. Maalesef buna çarptım (arkadaş çevremde "Bay Güvenlik" olduğumdan şaşırdım) ve bunun ne kadar büyük bir tehdit olduğunu avlamak için ağı araştırdı (ve ne kadar bilgiyi çılgınca yazarlara geri sızdırdı?) ). Bunun içine bir iğne koyacağım ve size bulgularımı sunacağım.

Herkesten kaçmasını
Alexander

Kaspersky'den çok ayrıntılı ve teknik bir cevap alabilirsiniz: Bölüm 1, Flashfake'in anatomisi
gentmatt

Yanıtlar:


6

Wikipedia'dan :

Trojan [FlashBack], Mac OS X'te bir Java güvenlik açığını hedefler. Kullanıcıya, JavaScript kodunun bir istismar içeren bir uygulamanın yüklenmesine neden olduğu, tehlikeli bir sahte siteye yönlendirilmesinden sonra sistem etkilenir. Kötü amaçlı kodları uzak bir yerden indirmek ve çalıştırmak için kullanılan yerel makineye yürütülebilir bir dosya kaydedilir. Kötü amaçlı yazılım ayrıca, en iyi yük dengelemesi için çeşitli sunucular arasında geçiş yapar. Her botun kontrol sunucusuna gönderilen benzersiz bir kimliği var. Ancak, truva atı yalnızca virüslü web sayfasını ziyaret eden kullanıcıyı etkileyecektir, yani bilgisayardaki diğer kullanıcılara, kullanıcı hesaplarına ayrıca virüs bulaşmamışsa virüs bulaşmaz. bunun nedeni UNIX güvenlik sistemidir.

Daha uzun ve daha teknik bir açıklama için bu F-Secure makalesini okuyun .


3
Bunun neden oylandığından emin değilim, soruyu cevaplıyor ...
Aaron Gölü

2

Bu, birisinin Mac'inizdeki güvenliği atladığı ve yeni programlar yükleyebileceği, şifreler, bankacılık web sitesi konumları ve belki de diğer hassas kişisel e-postalar ve bilgiler gibi verileri çalabileceği anlamına gelir.

Ayrıca, İnternet'e bağlanırsa, itibar edeceğim benzer eylemleri yapmak için başka bir yazılımı da Mac'e yükleyebileceği anlamına gelir.

Son olarak, programın mantık hataları varsa veya ayrıntılı bir şekilde test edilmemişse Mac'inizi çökertebilir.


Bu konuyla gerçekten ilgileniyorsanız, işte sorunu anlamakta yardımcı olduğunu düşündüğüm bazı bağlantılar. Programın kendisi oldukça karmaşık ve kendini bir yönetici işlemi (toplam kontrol) olarak yüklemeye çalışacak ve kendini root erişiminin eşdeğerine yükseltemiyorsa, yine de kullanıcı düzeyinde bir işlem olarak kendini yükleyecek ve dosyalarınızla çalışacaktır. tüm makine verilerini değil.

İlk önce bu açıklamanın bildirildiği şirket olan Intego, Mac kötü amaçlı yazılım risklerinin dengeli raporlarını ve değerlendirmelerini sağlamak için iyi bir sicile sahip olduğunu belirtti . Bu özellikle şifreleri kapmak için tasarlanmıştır ve hafifletme çabalarının raporları mutlaka hasar yükünü azaltmıştır rağmen, bunun "flashback" trojan tüm türevlerini varsaymak çılgınlık inanıyorum tamamen nötralize hatta mükemmel tespit edilirler.

Her zaman endişe verici olan şey, bir trojanın başarılı bir şekilde bilgisayarın kontrolünü ele geçirmesi ve yeni bilgisayarları indirmek için diğer bilgisayarları kontrol etmesi olabilir; gökyüzü, program algılanmazsa ve onu çalıştıran insanlar varsa ne yapılabileceğinin sınırıdır. kişisel bilgilerden, şifrelerden ya da sadece Google ve diğerleri gibi meşru ve ağlardan tazminat aldıkları sitelere trafik çekmekten para kazanma şansı.

Ek okuma:

İstenmeyen alarma neden olmak istemem ama bu program yalnızca büyük çapta tıklama geliri elde etmek için yönlendirici arama sonuçlarını yakalamakla kalmadı, aynı zamanda karşı önlemler verilmeden önce mac'lardan gelen şifreleri toplamaya çalışmak için iyi bir iş çıkardı.


0

Kısa cevap hiçbir şey yapmadığı, uzun cevap olduğu: Kötü niyetli sunucular OP sorusu tarihi itibariyle "açık" değildi. bir şeyi botnet'e veya virüs bulaşmış makinelere doğru itmek için "açılmadılar".

eğer bugün açıldıysa .. veya birileri bunu okuduğunda, hiçbir şey yapamayacaklardır, çünkü virüs bulaşan makine sayısı ilk olarak "tahminler" ile abartılıyordu (bu yüzden değildi). açıldı ", yeterli değildi) ve gerçek sayı ne olursa olsun, şimdi, botnet'in etkinliğinin (hizmet reddi tipinde bir saldırıyı reddetmek için kuruldu) o kadar küçük bir sayıya düştüğü: DNS olarak tamamen etkili değildir .. bu yüzden yaptı ve yaptı, ve hiçbir şey yapmaz ....

kötü amaçlı yazılım ayrıca şifreleri veya kullanıcı girişlerini de deneyebilir ve ... insanların size söyleyemediği şey, bunun için indirilmesi gereken uygulamanın son derece karmaşık ve aslında burada yapılmaması gerektiğidir. (“yüklü” olduğunu duyduğun hiçbir uygulayıcı bunu yapmadı) (gerçekte)

Rus güvenlik firması tarafından yapılan ... enfeksiyonun "tahminleri" de dahil olmak üzere birçok yanlış bilgi aktarıldı ... (yanlış bilgi çoğunlukla güvenlik ürünlerini ve marka adlarını aşmak için yapılır) İnsanları bir gün biraz para harcamalarını sağlamaya çalışın)

Tahminlerin ne kadar "kapalı" olduğunu ispatlamak için, Rus olmayan diğer "güvenlik" firmalarının, haftalar sonra, kendisinin kanıtı olmayan, kanıtı olan çok az sayıda enfeksiyon ortaya koyduğunu kanıtladı. Orijinal enfeksiyon sayısına yakın olan yeni bir rakamla ... "tahminlerini" her zaman kapalı olduğunu göstererek ... (ikinci bir Rus güvenlik firması rakamlarını "doğruladı", ama gerçekte birlikte çalışıyorlardı). ...

yanlış kullanımın ikinci kısmı, şifrenizi girmeden bilgisayarınıza "bulaştırabilir", bu doğru değil, bir uygulamayı safari (veya başka bir) dizinine yerleştirebilir, ancak şifrenizi vermişseniz .. Sizi bir parola girmediyseniz, genelde etkili olmayan diğer saldırı vektörleriydi.

Bunun kanıtı olarak, "güvenlik firmaları" ndan uygulamayı kaldırma adımları, şifrenizi gerektiren terminal sudo komutlarını, diğerlerini silmek için, bir şifreye, şifrenizi de eklemek için gerekliydi ... (orada Bunun bir istisnası, kök olarak çalışmak gibi ve bunu 1000 mil yarıçapındaki yakın çevremde yapan kullanıcıların sayısını bir yandan sayabilirim) (abartılıyorum, ama sadece noktayı göstermek için) ...

Kısacası, sadece aşırı yazmanın kurbanı oldunuz ... YOL aşırı yazdı ... insanlar bundan daha fazla etkileyemeyeceğinin farkında olana kadar bunun neredeyse her çeşidi, flash güncelleme veya benzeri gibi davranan bir versiyondu. .. (bu nedenle isim)

flash'ınızı installer mesajı gibi büyük bir kutu ile "güncellemek" istemediyseniz ... ve daha önemlisi, ortalama bir bilgisayar kullanıcısından daha akıllıydı ve her sosyal mühendislik saldırı yolunun başladığını fark ettiniz ... " bir güncelleme yüklemeniz gerekiyor "veya bir virüsten koruma yazılımı uygulaması yüklemelisiniz ...

o zaman bile kötü amaçlı yazılım olup olmadığını kontrol etmek gerekmez

Aslına bakılırsa, bu gerçeği biraz anlayabilmek için çok uzun bir yol var ...

daha fazla insana, şu anda diğer kötü amaçlı yazılımlara göre daha fazla truva atı olan "antivirüs" yazılımı yüklendi.

ve burada biraz daha fazlası ... daha fazla bilgisayar kullanıcısı, LEGITIMATE anti-virüs yazılımıyla ilgili verileri (ya da zaman aşımını kaybetti), Mac kullanıcılarının kötü amaçlı yazılımlara veri kaybetmesini (ya da zaman aşımını kaybetti) ... çünkü yazılım programlarının kendisinde hatalar vardı. Onlardan şirketlerden yapılan güncellemeler bazı dosyaların doğru olmadığına inandırıcıydı ... aslında önemli dosyalardı ...

burada bir tane daha var, tek bir AV yazılım paketi değil, kötü amaçlı yazılım vahşi ortamda olana kadar kötü amaçlı yazılımdan algılayabilir veya kurtulabilirsiniz ... ve bu AV yazılımını güncellemelisiniz .... bu önleyici bir yazılım değildir, aslında bir mac kullanıcısı olan ... bir mac kullanıcısını biraz iyi yapan bir durum ... özellikle de her şeyden haberdar olan bir kullanıcıysanız .. ve aynı zamanda bir güncelleme mevcut olduğu hakkında bir şeyler biliyorsanız ...


Flashback'in birçok genel basında çıkan haberlere aykırı bir şey yapamayacağına dair iddialarınız. Hangi Rus firmalarının, aşırıya kaçtığını bildirdiğiniz şeyleri bile bildirdiklerini açıklayan bazı referanslarınız olabilir mi?
bmike
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.