Išsiaiškinta kaip „iWorm“ užkrečia Mac

Thomas iš Safe Mac išsiaiškino kaip iWork užkrečia Mac kompiuterius.

Šiandien ryta pabudęs Thomas rado elektroninį laišką, kuriame nežinomu panoręs išlikti nurodė, kad rado „iWorm“ įdiegimo aplikacijas ir nurodė į The PirateBay vartotoją „aceprog“, kurio paskyroje yra eilės komercinių aplikacijų, tokių kaip Adobe Photoshop, Adobe Illustrator, Microsoft Office ir Parallels įdiegimo distributyvai. Įdiegęs savo kompiuteryje torrentų aplikaciją jis atsiuntė vieną iš „aceprog“ platinamų aplikacijų Photoshop CC 2014.

Atsisiųstas paketas, be Photoshop CC 2014, iš pirmo žvilgsnio, neturėjo nieko labai pavojingo tik kelias papildomas ir nereikalingas aplikacijas, kurias norint kad kas nors naudotų tikriausiai reikėtų primokėti, todėl įtarimai nukrypo į pačios Photoshop diegimo aplikaciją, kuri buvo modifikuota:

Nusiuntus šiuos paleidžiamuosius failus į Virus Total tik vienas iš trijų, pavadinimu „0“ buvo atpažintas kaip ne visiškai saugus, o likę du buvo pripažinti saugiais. Panašu, kad pats diegimo procesas buvo tikras, tačiau failas pavadinimu „1“ kėlė įtarimų.

Thomas nebuvo tikras ko tikėtis atidarant failą. Normalu būtų tikėtis, pakeitimai padaryti faile turėtų iššaukti OS X klaidą, nes sistema atpažintų jį kaip pažeistą, nes diegimo paketas yra pasirašytas (užšifruotas parašas OS X leidžia sistemai patikrinti, kad konkretus paketas yra sukurtas tam tikro programuotojo ir nėra modifikuotas). Tačiau atidarius failą rezultatas buvo kiek kitoks:

Nors iš pirmo žvilgsnio atrodė, kad aplikacija yra pasirašyta, tačiau ją patikrinus komandos codesign -vv pagalba pasirodė, kad taip nėra. Thomas atliko Gatekeeper pakeitimus leidžiančius aplikaciją įdiegti ir nepasirašytą aplikaciją.

Pirmas dalykas kas įvyko atidarius diegimo aplikaciją - ji paprašė nurodyti kompiuterio administratoriaus slaptažodį ir jį nurodžius pasileido oficiali Photoshop CC 2014 diegimo aplikacija, bet kenkėjas jau buvo įdiegtas. Vos tik Thomas nurodė kompiuterio administratoriaus slaptažodį, iWorm tą pačią akimirką patogiai užėmė savo pozicijas jo Mac’e.

Stebint kas vyksta kompiuteryje „fs_usage“ komandos pagalba (fs_usage pateikia išsamią informaciją apie tai kas vyksta kompiuteryje, tokią kaip failų ar aplankų kūrimas ir panašiai). Šios komandos pagalba Thomas pastebėjo, kad vieninteliai dalykai ką padarė „0“ paleidžiamasis failas - jis sukūrė šiuos failus: /Library/Application Support/JavaW/JavaW /Library/LaunchDaemons/com.JavaW.plist

com.JavaW.plist failas paprasčiausiai paleidžia JavaW procesą kompiuteriui startuojant ir pasirūpina, kad kenkėjiškas kodas visada būtų paleistas foniniame režime.

Thomas atstatė sistemą į saugią ir kenkėjų neturinčią ir tada vėl paleido Photoshop CC 2014 diegimo paketą, tačiau dabar paprašytas nurodyti administratoriaus slaptažodį jis paspaudė „Cancel“ ir šį kartą kenkėjas įdiegtas nebuvo.

Buvo įtarimų, kad šiame procese vienaip ar kitaip dalyvauja Java pažeidžiamumas, greičiausiai dėl kenkėjo naudojami „JavaW“ pavadinimo. Tačiau, bent jau dabar, tokie pasvarstymai atrodo labiau teoriniai. Tai tiesiog „trojanas“ kodifikuotoje programinėje įrangoje.

Iš vienos pusės visai nepikta, kad kenkėjai yra nusitaikę į vogtą programinę įrangą naudojančius vartotojus, liūdna tai, kad dėl tokių vagišių kenčia visai niekuo dėti žmonės ir kompanijos į kuriuos programišiai nusitaiko tokių apkrėstų ir botneto dalimi tapusių kompiuterių pagalba. Jei neturite pinigų reikiamai programinei įrangai nusipirkti - apsieikite be jos, nes tai rodo, kad veikla, kuriai naudojate tas aplikacijas neatneša jums pakankamai pajamų, kad galėtumėte ją naudoti.

Taip pat skaitykite: • Dr. Web pranešė apie naują kenkėją Mac kompiuteriams
• Mac OS X virusų/kenkėjiškų programų sąrašas