„Mac OS X“ virusų/kenkėjiškų programų sąrašas

Pirmą kartą šis AppleScript Trojos arklys buvo pastebėtas 2004 metų pradžioje, kai apsimetęs Microsoft Word 2004 įdiegimo aplikacija pasirūpindavo, kad iš Mac kompiuterio būtų ištrintas vartotojo „Home“ aplankas su visais jame buvusiais vartotojo dokumentais bei kitais failais. Kita vertus tai buvo gera pamoka tiems kas mėgsta į savo kompiuterius diegti piratinę programinę įrangą ir šio viruso jie pilnai nusipelnė.

Labai mažai tikėtina, kad kas nors galėtų pasigauti šį virusą šiais likais.

Šis „Trojos arklys“ - shell skriptas turėjo būti specialiai paleistas Mac kompiuterio vartotojo turinčio root teises. Įdiegtas jis atverdavo „galines duris“ leisdamas programišiams pro jas įeiti į kompiuterį.

Jei šis kenkėjas, šiuo laiku ir apsigyventų pas ką nors Mac'e - vargu ar kas nors įeitų pro tas atvertas „galines duris“ Mac kompiuteryje, nes visi su šiuo virusu susiję programišiai arba nėra aktyvūs, arba seniai užsiima kita veikla.

Šis virusas yra labai menkai aprašytas ir aptinkamas tik viename Sophos aprašyme todėl nėra labai aišku kuo užsiėmė šis piktadarys. Greičiausiai tai yra vienas iš Sophos Mac virusų konceptų, kuris niekada nebuvo paplitęs ar užkrėtęs kokio nors Mac kompiuterio.

Šis piktybinis kodas naudojosi Safari saugumo, kuri buvo užlopyta atnaujinimo 2006-001 praktiškai vos tik virusas pasirodė.

Šis „Trojos žirgas“ apsimesdavo paveikliuku, nors iš tikro buvo aplikacija. Vos tik paleistas šis „Trojietis“ tuojau pat save išplatindavo per iChat, kaip virusas. Yra mažai tikėtina, kad kas nors šiuo metu galėtų pasigauti šį piktadarį.

Tai viruso konceptas Mac OS atnaujinimo dėka numarintas dar iki tada kai kas nors spėjo jį pamatyti klaidžiojantį kompiuterinių tinklų klystkeliais.

Viruso konceptas, kuris niekada nebuvo aptiktas nei viename Mac kompiuteryje. Šio viruso paskirtis buvo suteikti užpuolikui root'o teises. Jei savo Mac kompiuteryje esate įdiegę Mac OS X 10.4.7 ar naujesnę, tikimybė įdarbinti savo kompiuteryje šį virusą yra lygi 0.

Panašų į šios svetainės pavadinimą vardą turintis virusas Macarena buvo tik konceptas, prie kurio buvo pridedama instrukcija kaip jį susikompiliuoti ir dėl tos priežasties, norint juo užsikrėsti, reikėjo: „Macarena“ virusą atsisiųsti, išsiarchyvuoti, tada perskaityti pridėtą instrukciją apie tai kaip susikompiliuoti tą kodą savo kompiuteryje, jį susikompiliuoti ir suprantant ką darai sukompiliuotą programą paleisti. Ir net tada, jį paleidus - jis nepadarys nieko blogo, tiesiog padaugins savo kodo versijų. Nėra žinoma, kad kas nors būtų užsikrėtęs „Macarena“.

Šis „Trojos arklys“ pagerbdavo savo apsilankymu Interneto svetainių skirtų suaugusiems lankytojus. Jis plisdavo tokių svetainių lankytojams paspaudus ant nuorodos teigiančios, kad norint matyti svetainėje patalpintą video medžiagą jie turi atsisiųsti specialų priedą (video codec'ą), kuris iš tikro būdavo „Trojos arklys“. Ne per seniausiai šis „žirgas“ buvo pastebėtas apsimetantis, kad yra nemokamas žaidimas. RSPlug pakeičia DNS serverio nustatymus ir įdiegia programėlę, kuri pasirūpina, kad tie nustatymai išliktų pakeisti. Užkrėsti kompiuteriai naudoja „pakištą“ DNS serverį, kuris nukreipdavo užklausas į bankų svetaines, eBay ir panašiai į „phishing“ serverius ir taip pasisavindavo vartotojų prisijungimo duomenis. Nuo šio „Trojos arklio“ piktos veiklos gali jaustis saugūs visi, kurių kompiuteriuose įdiegta OS X 10.6 ar naujesnė OS X versija.

Pastaba: kadangi už šio piktybinio kodo veiklą atsakinga grupuotė sulaikyta 2012 metais, šio kodo „pavojaus lygis“ sumažintas iki „Jokio“

MacSweeper aptikusios F-Secure ji buvo klasifikuota kaip išdykėliška aplikacija. Ji labai panaši į vėliau pasirodžiusį MacDefender serijos piktybinį kodą. Nei MacSweeper nei jo Interneto svetainė nebeegzistuoja.

Šis AppleScript'as išnaudojo ARDAgent saugumo spragą ir leido valdyti kompiuterį nuotoliniu būdu. Ši saugumo spraga buvo greitai užlopyta saugumo atnaujinimo 2008-005.

Naudodamas nestandartinį langą šis pokerio žaidimu apsimetantis „Trojos arklys“ prašydavo įvesti kompiuterio slaptažodį . Gavęs slaptažodį „žirgas jį nunešdavo“ atakuotojui, kuris galėdavo nuotpliniu būdu valdyti kompiuterį. Kadangi šis piktybinis kodas naudojosi ta pačia spaugumo spraga kaip ir AsTHT, kuri yra ištaisyta - jis daugiau nekelia pavojaus.

Atminkite, kad kompiuterio slaptažodį galite įvesti tik tipiniame OS X vartotojo sąsajos lange.

Iš tiesų tai nėra piktybinis kodas, tai programišių įrankis, kuris gali atidaryti „galines duris“ jūsų sistemoje ir sutekti programišiams prieigą prie jos. Norint programišiui pasinaudoti šiuo kodu ir atverti „galines duris“ į jūsų sistemą, jis jau turi turėti prieigą prie sistemos, o jei programišius turi galimybę fiziškai čiupinėti jūsų kompiuterį, ši programa nėra didžiausia problema, kurią turite. Bet kuriuo atveju, labai mažai tikėtina, kad kas nors iš programišių šiais laikais vis dar naudoja Lamzev.

Šis „Trojos arklys“ priklauso, tikriausiai, labiausiai paplitusiai į Mac kompiuterius nusitaikiusiai kenkėjų grupei. Pradžioje jis apsimetinėjo, kad yra iWork, bet vėliau pradėjo imituoti ir kitas aplikacijas. Daugiausia jis plito P2P paslaugų pagalba (torentų) ir užkrėstą kompiuterį pavesdavo botnet tinklo, skirto atakuoti kitus kompiuterius, dalimi.

Nuo šio parazito saugūs visi įdiegę Mac OS X 10.6 ar naujesnę OS X versiją.

Šis „trojietis“ plito kaip virusas prisegdamas save prie el. pašto laiškų. Kadangi jis buvo labai prastai suprogramuotas ir pats kentėjo nuo begalės klaidų, jis sunkiai galėjo atlikti tai kam buvo skirtas ir nėra kategorizuojamas kaip pavojingas. Saugumo ekspertai jį vadina "lame."

Šį „trojietį“ Apple patyliukais nukenksmino 2010 metų birželio viduryje išleisdama Mac OS X 10.6.4 atnaujinimą. HellRTS plito apsimesdamas kaip iPhoto, pagrinde per torentus.

Yra labai nedaug informacijos apie šį kenkėją, o esamą galima aptikti tik kai kuriose antivirusus kuriančių kompanijų svetainėse.

Jei nesate tiek kvaili, kad siųstis iPhoto iš torentų arba net jei ir esate, bet savo Mac kompiuteriuose įdiegėte Mac OS X 10.6.4 ar naujesnę versiją - esate saugūs.

Apie OpinionSpy, dar vadinamą Premier Opinion, pirmą kartą buvo paskelbta Intego2010-06-01. Pasak Intego, šis piktas kodas buvo platinamas vienos kompanijos (7art) kartu su ekrano užsklandomis ir video konverteriu. Pilną sąrašą rasite čia.

Šis vargšas šnipelis iš tiesų įspėdavo vartotoją, kad rinks jo asmeninę informaciją ir tada reikalaudavo su tuo sutikti norint jį įdiegti. 2011 kovo 21 dieną Apple patalpino jį į OS X karantino sąrašą.

Koobface - piktybinis Java apletas paprastai plitęs per socialinius tinkus tokius kaip Facebook bei Twitter ir Windows pasaulyje sukinėjosi nuo 2009. Deja, bet 2010 spalį jis įžengė ir į Mac pasaulį. Jis dažniausiai apsireikšdavo pranešimu „Is this you in this video?“. Pradžioje buvo pranešta, kad jame per daug klaidų, kad jis dirbtų „taip kaip reikia“, bet vėliau buvo pranešta ir apie pilnai veiksmingas jo formas.

Blogiausia yra tai, kad šis „trojietis“ nereikalaudavo administratoriaus slaptažodžio, nors ir reikėdavo paspausti „Allow“ mygtuką kai jis bandydavo prieiti prie kompiuteryje esančių duomenų, tačiau dauguma ne labai su technika draugaujančių Mac kompiuterių vartotojų, manydavo, kad čia viskas gerai. Šis „trojietis“ pažymėtas kaip nepavojingas, nes jau kuris laikas nėra Koobface ženklų.

Aš primygtinai rekomenduoju, jei nėra būtinybės naudoti Java - ją išinstaliuoti (jei tokia yra įdiegta).

BlackHole RAT (Nuotolinio valdymo įrankis) yra sudėtingas kenkėjiškų kodų rinkinys. Paprastai jis platinamas per kenkėjiškas Interneto svetaines naudojančias skirtingus mechanizmus kenkėjams įbrukti. Mac kompiuteriai gali būti užkrėsti BlackHole RAT jei sistema turi šio nenaudėlio naudojamų saugumo spragų. Jei savo sitemoje naudojate naujasias trečių šalių sukurtų įskiepių versijas (Java, Flash ir t.t.) ar dar geriau jei jų visai nenaudojate, rizika užsikrėsti - minimali. Paskutinius atnaujinimus įdiegusioms Mac sistemos yra apsaugotos nuo BlackHole užpuolimų.

MacDefender yra „Trojos arklys“, kuris į Mac kompiuterius patenka patiklių Mac vartotojų, perskaičiusių Interneto svetainėje informaciją, kad jų kompiuteris yra apkrėstas virusu, dėka. Šie pranešimai rodomi normaliose svetainėse ir javascript pagalba vartotojai nukreipiami į kenkėjišką svetainę apsimetančia platinančia antivirusinę aplikaciją, dažniausiai pavadinta „Apple Security Center“. Paspaudus ant nuorodos tokioje svetainėje atsisiunčiama aplikacija ir Mac'uose kur Safari naršyklėje pažymėta atidaryti saugius failus po atsiuntimo - atsisiųsta aplikacija atidaroma. (Safari vartotojams aš rekomenduoju šią funkciją atjungti Safari > Preferences > General ir lango apačioje…) Įdiegus „trojietis“ kas kelias minutes atidarinėja pornografinių svetainių langus „įrodinėdamas, kad virusas yra“ ir reikalaudamas vartotojų sumokėti už aplikaciją, kad virusas būtų pašalintas. Šis kodas pasirodydavo keliais skirtingais vardais. Kadangi 2011 metais Rusijos kalėjime pritūpė už šiuo būdu iš žmonių vilioję pinigus programišiai ir kiti susiję asmenys ir šio žirgo jau kuris laikas nesimato jodinėjant internete - pavojus panaikintas.

Apie šį „Trojos arkį“, 2011 metų rugpjūčio 1 dieną pranešė F-Secure. QHost apsimeta Flash player'io įdiegimo programa. Kodas iš tiesų neįdiegia Flash, bet modifikuoja hosts failą taip, kad būtų galima naudoti kitus DNS. Į failą įrašoma daug skirtingų Google domenų nukreipiančių į piktybinius IP adresus. Nors originalus kodas yra neveiksnus, kitus jo variantus (pvz Sophos aptiktą OSX/HostMod-A) dar galima aptikti internete.

Revir aptiko ir 2011 metų rugsėjo 23 dieną pranešė F-Secure. Šis „trojietis“ sudarytas iš dviejų dalių or apsimeta esąs PDF failas. Jį atidarius pirmoji jo dalis „Revir.A“, kuri yra aplikacija, o ne PDF failas, norėdama suklaidinti vartotoją atidaro PDF failą, ir foniniame režime įdiegia „Imuler.A“, kuris veikia kaip foninis procesas atidarydamas „galines duris“ į sistemą ir apie tai informuodamas serverį. Šiuo metu serveris yra neveiksnus, tačiau jis gali pradėti veikti bet kuriuo momentu.

Norėdami įsitikinti, kad jūsų sistemoje šio užkrato nėra patikrinkte aplanką ~/Library/LaunchAgents/ ir jei ten rasite failus „checkvir” ir „checkvir.plist“ - juos ištrinkite. Norėdami apsisaugoti nuo PDF ar kitais failų tipais apsimetančių aplikacijų Mac OS X sistemoje įjunkite failų plėtinių (extensions) rodymą Finder > Preferences > Advanced ir uždėkite varnelę ant „Show all filename extensions“.

Šis kodas pasirodė 2011 metų rugsėjį. Flashback trojos arklys į Mac kompiuterius patekdavo vartotojus suklaidinus pranešimu, kad jų Flash player'is lūžo ir reikalingas atnaujinimas.

Apple užlopė šio „Trojos arklio“ naudotą skylę bei pašalino jį iš kompiuterių, kuriuose jis buvo apsistojęs. Jei turite savo kompiuteryje Flashback, greičiausiai jau senokai nesate atnaujinę savo sistemos.

Kadangi jau kuris laikas nėra Flashback ženklų - pavojus panaikintas, tačiau yra galimybė, kad vieną dieną atsiras modifikuota Flashback versija ir pradės siausti vėl.

2011 metų spalio 28 Intego paskelbė atradusi „Trojos arklį“, kurį jie vadina DevilRobber. Išsamų šio kodo aprašymą rasite Intego svetainėje. Aš žymiu šį virusą kaip nepavojingą ne todėl, kad jis negali padaryti bėdos, bet todėl, kad jis plinta piratinių aplikacijų pagalba, o žmonės naudojantys piratinę programinę įrangą (vagiantys) nusipelno to ką gauna.

FinFisher yra teisėsaugos ir vyriausybinėms organizacijoms šnipinėjimui skirtas įrankis ir dėl jo atsiradimo šiame sąraše galima ginčytis, bet kadangi jis yra platinamas privačios kompanijos Gamma International ir nėra žinoma ar jis nėra platinamas ir neteisėtiems atstovams ir jų naudojamas - nutariau FinFisher čia paminėti net jei ir jos pėdsakų buvo aptikta tik Windows kompiuteriuose , o Apple šią saugumo spragą užlopė su iTunes 10.5.1 atnaujinimu.

Apple patyliukais įdėjo apsaugą nuo FileSteal į XProtect, bet jokios informacijos apie šį kenkėją nėra ir viešai jokios kompiuterių saugume besispecializuojančios kompanijos apie jį nešneka. Praėjus daugiau nei metams po FileSteal atradimo, F-Secure paskelbė atradusi „KitM“, kuris susijęs su dar vienu mistiniu kenkėju „Hackback“. Galų gale paaiškėjo, kad „FileSteal/Hackback“ yra „Trojos žirgas“ persiunčiantis tam tikrus failus iš vartotojo kompiuterio į kontrolinį kompiuterį/serverį. Naujesnis „KitM“ kenkėjas daro ekrano vaizdo kopijas ir kaip paveiksliukus siunčia į serverį bei yra senesnio savo giminaičio atmaina.

Šis kenkėjas yra labai tiksliai nutaikomas į konkretų žmogų, todėl dauguma mūsų jo niekada neišvysime.

Tibet.A įdiegia save labai panašiu būdu, kaip ir Flashback, ir yra priklausomas Java saugumo spragų. Šis negerietis yra skirtas Tibeto aktyvistams. Saugumo kompanijos pateikia labai nedaug informacijos apie šį Trojos arklį. bet kuriuo atveju, šio kodo galima išvengti labai paprastai: arba išmetus Java iš kompiuterio, arba atjungus ją naršyklėje. Jei Java reikalinga OS X 10.6 ir naujesnių versijų vartotojai turi atnaujinti Java versijas nes jos panaikiną šio Trojos žirgo naudojamas saugumo spragas. OS X 10.5 vartotojams saugumo spragų ištaisymas nėra išleistas ir vienintelė išeitis jiems apsisaugoti nuo šio kenkėjo - atjungti Java.

Sabpab, kaip ir Flashback ar Tibet kenkėjas įsigauna pasinaudodamas senesnių Java ar Microsoft Office versijų saugumo spragomis ir nereikalauja iš vartotojo jokių veiksmų. Naujose aplikacijų versijose ši spraga yra ištaisyta. Šis kenkėjas nutaikytas prieš Tibeto kovotojus. Sabpab atidaro „galines duris“ ir leidžia programišiams persiųsti ar atsisiųsti failus iš ir į kompiuterį, daryti ekrano vaizdo kopikas bei nuotoliniu būdu valdyti kompiuterį. Mdropper vardas susijęs su kenkėjišku Microsoft Office dokumentu, kuris įdiegia Sabpab.

Apie šį kenkėją nėra daug informacijos ir nėra aišku ką jis daro. Jis įdiegiamas kaip įskiepis naršyklėje žiūrėti video failus, įdiegtas vieną kartą prisijungia prie update.codecm.com svetainės 80 portu ir patikrina ar jis yra naujausios versijos. Įtariate, kad tokį pasigavote patikrinkite ar neturite: ~/Library/Safari/Extensions/codec-M.safariextz ~/Library/Application Support/Codec-M ~/Library/LaunchAgents/com.codecm.uploader.plist /Applications/Codec-M.app ~/Library/Application Support/Mozilla/Extensions/{ec8030f7-c20a-464f-9b0e-13a3a9e97384}/{EEF73632-A085-4fd3-A778-ECD82C8CB297}.xpi /Applications/Google Chrome.app/Contents/Extensions/codec-M.crx ~/Library/Application Support/Google/Chrome/Default/Extensions/gmmhejnionfamfddcdbffhceihkmbdfc ir jei turite išmeskite tuos nereikalingus failus.

Symantec pranešė apie Maljava, internetu plintantį ir tas pačias Java saugumo spragas kaip ir Flashback išnaudojantį piktybinį kodą. Kodas veikia tiek su Mac tiek ir su Windows kompiuteriais, atsisiųsdamas reikalingus komponentus priklausomai nuo operacinės sistemos. Nėra aišku ką daro šis kodas taip pat kaip ir nėra daug informacijos apie jį nes vienintelė Symantec, panašu, yra jį patikusi.

GetShell naudoja socialinius tinklus siekdamas gauti prieigą prie jūsų kompiuterio (Mac, Windows ar Linux) ir atidaryti jame „galines duris“. Nors pirmasis piktybinio kodo variantas veikė tik PowerPC aplikacijose, vėlesnės jo kartos buvo pritaikytos veikti ir Intel procesorius turinčiuose kompiuteriuose. Išjungus Java Interneto naršyklėje būsite saugūs.

Crisis yra vyriausybės užsakymu sukurtas trojietis (kurios vyriausybės nėra žinoma) išnaudojantis Java saugumo spragas. Net jei ir nesate Maroko žurnalistas Java išjungus bus ramiau.

NetWeird yra prastai parašytas ir juodojoje rinkoje už $60 parduodamas Trojos arklys.

Jacksbot yra Java aplikacija, kurią galima aptikti kenkėjiškame Minecraft žaidimo mode, kuris gali užkrėsti skirtingas platformas ir Mac tame tarpe. Pagrindinis kenkėjo tikslas pavogti Minecraft slaptažodžius nors turi ir kitokias nuotolinio valdymo galimybes, kelios kurių gali veikti arba ne Mac kompiuteriuose, nes pagrindinis taikinys yra Windows vartotojai. jei nežaidžiate Minecraft - greičiausiai niekada jo nepamatysite.

Dockster ir „galinių durų“ aplikacija įdiegimiui išnaudojanti Java saugumo spragas (tas pačias kaip ir Flashback). Šios spragos seniai užlopytos, todėl jei periodiškai atnaujinate turimą programinę įrangą - esate saugūs. Šis kenkėjas pastebėtas tik vienoje vietoje - svetainėje skirtoje Dalai Lama.

SMSSend apsimeta kita aplikacija ir diegimo metu prašo įvesti telefono numerį ir išsiųsti žinutę nurodytu numeriu ir tada telefono sąskaita pasipildo tam tikra suma. Tai tipiškas tokio tipo kenkėjų elgesys. Įdomu tai, kad šalių į kur siųsti žinutę pasirinkimas labai ribotas: Lietuva, Albanija, Armėnija, Baltarusija, Brazilija, Estija, Vokietija, Kazachstanas, Kirgizija, Latvija, Moldavija, Rusija, Ukraina ir Vietnamas. Šio kenkėjo neaptinka eilė antivirusų ir jis sugeba pasislėpti ir nuo Apple apsaugos naudojamos Mac OS X žinomos kaip XProtect.

Šis kenkėjas naudoja Java saugumo spragas ir gali atidaryti programišiams „galines duris“ jūsų Mac kompiuteryje. Kenkėjas aprašytas Intego svetainėje, ir panašu, kad gali būti kaltas dėl įsilaužimų į eilės kompanijų tinklus.

CallMe yra Trojos arklys nusitaikęs į Tibeto aktyvistus. Kodas plinta Microsoft Word documento pagalba ir išnaudoja Microsoft Office saugumo spragą (CVE-2009-0563) ištaisytą 2009 birželį Nemanau, kad kas nors iš jūsų jį sutiks.

Trojos arklys, kuris apsimeta, kad suteiks papildomų galių, bet iš tikro pavogia slaptažodį. Nėra pavojingas jei nežaidžiate Minecraft ir neturite įdeigę Java. Daugiau informacijos rasite straipsnyje „Naujas Minecraft slaptažodžius vagiantis Trojos arklys“ (anglų kalba).

Pirmasis Mac piktybinis kodas sugebėjęs apeiti Gatekeeper apsaugą įdiegta Mountain Lion (Mac OS X 10.8). Šis kenkėjas periodiškai darydavo ekrano vaizdo kopijas ir jas persiųsdavo į serverį. Jis nebepavojingas nes Apple atšaukė jo naudotą sertifikatą.

Janicab naudojo sertifikatą taip apgaudamas OS X Gatekeeper ir pasimesdamas PDF failu trojanas darė ekrano vaizdo kopijas ir įrašinėjo garsą bei šią informaciją persiųsdavo į serverius. Per 24 valandas nuo jo pasirodymo Apple atšaukė sertifikatą taip padarydamas tolimesnį kenkėjo plitimą neįmanomu.

Trojos arklys siejamas su Sirijos Elektronine Armija. Nėra visiškai aišku prieš ką jis nutaikytas, tačiau jis naudoja metodą kai aplikacija apsimeta vaizdo failu ir naudoja įtarimo nesukeliančius failų pavadinimus. Šiuo atveju Leverage apsimeta, kad yra Nikon kameros kadras, o paspaudus atidaro Preview, tačiau nieko ten neparodo, o vartotojo bendrinamame aplanke „Public“ atsiranda UserEvents.app aplikacija ir atitinkamas įrašas LaunchAgent, kurio pagalba pasirūpinama, kad aplikacija visada būtų atidaryta.

2013 metų rugsėjo 19 dieną Apple atnaujino XProtect biblioteką neleisdama šiam kodui būti paleistam.

Trojos arklys apsimetantis aplikacija Img2icns. Mac kompiuteriams skirta versija yra naujas Windows skirto kenkėjo variantas naudotas atakose iki 2011 metų, daugiausia Japonijoje ir Pietų Korėjoje. Vėliau šis kenkėjas buvo aptiktas ir AppDelete ir CleanMyMac aplikacijų pavidalu. Žinoma, pačios aplikacijos nėra kenkėjos, tačiau nelygu iš kur jos atsisiųstos, jos gali turėti arba neturėti šį užkratą.

Keista, bet Apple iki šiol nėra užlopiusi šios saugumo spragos. Nesu tikras, bet man atrodo, kad jei nuėjus į ~/Library/LaunchAgents aplanką ten yra failas apple.launchd.plist - kompiuteris gali būti užkrėstas.

Trojos arklys plintantis per el. paštą. Elektroniniu paštu atsiunčiamas laiškas su nuoroda į PDF failą, kuris iš tiesų yra aplikacija. Užkrėstame kompiuteryje kodas ieško įvairios informacijas ir siunčia ją į kontroliuojantį serverį.

SecureMac aptiktas naujas OS X Trojos žirgas, kuris stebi interneto naršymo srautą tam, kad pavogtų Bitkoin’us.

Trojos žirgas pavadintas „OSX/CoinThief.A“ maskuojasi kaip nepavojinga Bitkoin aplikacija StealthBit skirta anonimiškai siųsti ir gauti Bitkoin mokėjimus.

Daugiau informacijos apie šį kenkėją rasite straipsnyje: „Aptiktas Bitkoin vagiantis OS X Trojos žirgas“

Suteikiau „Jokio/Mažas“ pavojingumo lygį, nes sąlyginai nedidelė žmonių dalis naudojasi Bitkoinais ir šis užkratas susijęs tik su viena aplikacija bei nesunkiai pašalinamas.

XSLCmd tai iš linux į Mac OS X portintas virusas. Kaip jis veikia ar naudojamas daug informacijos nėra. Nera žinomas ir jo nešėjas. Labai galimas dalykas, kad jis yra skirtas atakoms nukreiptoms prieš konkrečius individus. Jis nėra paplitęs, todėl didelė tikimybė, kad su juo niekada nesusidursite.

Dr.Web aptiktas naujas OS X kenkėjas „iWorm“, kuris įdiegtas kompiuteryje jį padaro botnet kenkėjiško tinklo dalimi.

kenkėjo nešiotojas (aplikacija, kuri įdiegia kenkėją) jo paleidžiamą failą patalpina /Library/Application Support/ aplanke pavadinimu „JavaW“, tačiau nereiškia, kad Java yra kaip nors su tuo susijusi - šis aplanko pavadinimas gali būti parinktas ir maskavimosi tikslu.

Daugiau informacijos apie šį kenkėją rasite straipsnyje: „Dr. Web pranešė apie naują kenkėją Mac kompiuteriams“ ir Išsiaiškinta kaip „iWorm“ užkrečia Mac

Suteikiau „Jokio/Mažas“ pavojingumo lygį, nes „iWorm“ kenkėjas plinta per piratinę programinę įrangą.

Tai Kaspersky Lab aptiktas virusas skirtas OS X. Šis virusas, jei turi root teises įdiegiamas /Library aplanke, o jei neturi tokių teisių, tada vartotojo ~/Library aplanke.

Patikrinti ar turite šį kenkėją galite paieškoję ~/Library/LaunchAgents/ ir /Library/LaunchDaemons/ aplankuose failo com.updated.launchagent.plist

Jei tokį failą radote - vadinasi turite ir virusą. Deja, kadangi šis virusas atidaro „galines duris“ kitų kenkėjiškų aplikacijų įdiegimui - norint jo atsikratyti teks ištrinti ir sufotmatuoti visą siską, o duomenis atsistatyti iš atsarginės duomenų kopijos neatstatant nustatymų, aplikacijų ir t.t.

Tai virusas, kuris buvo aptiktas 467 Mac skirtose aplikacijose platintose Kinijos Maiyadi aplikacijų parduotuvėje. Tokį pavadinimą virusas gavo, nes turi galimybę apkrėsti net ir ne jaibreak'intus iOS įrenginius pajungtus prie Mac kompiuterio laidu.

Apple, lapkričio 6 dieną atnaujino savo XProtect biblioteką ir dabar šis virusas yra blokuojamas OS X sistemos.

Daugiau informacijos apie virusą skaitykite straipsnyje „Aptiktas naujas kenkėjas galintis užkrėsti iOS įrenginius“

Saugumo eksperto Trammell Hudson aptikta ir 2014 metų gruodį Hamburge vykusioje „Chaos Communication Congress“ konferencijoje pademonstruota saugumo spraga pavadinta „Thunderstrike“. Pasinaudojant Thunderbolt saugumo spraga, per Thunderbolt jungtį, galima modifikuoti Mac kompiuterių UEFI. Kadangi Apple užtaisė šią saugumo spragą išleisdama OS X 10.10.2 atnaujinimą - jos pavojingumo lygį pažymiu kaip „mažas“, nes senesnes OS X versijas naudojantiems jis vis dar išlieka.

Apsisaugojimo nuo šio kenkėjo nediegiant atnaujinimo kaip ir nėra ir norint jo išvengti reikėtų vengti duoti savo kompiuterį bet kam ar prie jo jungti svetimus Thunderbolt įrenginius.

Paprasto būdo aptikti pažeistą kompiuterį ar panaikinti kenkėjišką kodą iš UEFI - nėra. Kenkėjas liks užkrėstame kompiuteryje net ir pakeitus jame kietąjį diską.

Užkratas platinamas kaip, neva dokumentų konvertavimui skirta aplikacija „EasyDoc Converter“. Per trumpą laiką, įdiegta „Mac“ kompiuteryje aplikacija gali gauti pilną „Mac OS X“ sistemos kontrolę ir jį sunku aptikti.

Vidutinį/Mažą pavojaus lygį priskyriau, nes „EasyDoc Converter“ nėra populiari aplikacija ir nėra žinoma šiuo užkratu užkrėstų „Mac“ kompiuterių atvejų.

Daugiau informacijos apie virusą skaitykite „BitDefender svetainėje.“

Kenkėjo plitimo būdas nėra žinomas. Kenkėjas gali daryti ekrano vaizdo, prie kompiuterio pajungtos kameros fiksuojamo vaizdo kopijas bei rinkti informaciją apie visus tinke, prie kurio pajungtas užkrėstas kompiuteris, esančius įrenginius.

Pavojaus lygis kaip „Jokio/Labai mažas“ pažymėtas, nes aptiktas tik vienas viruso atvejis ir, panašu, kad virusas yra nutaikomas į labai siauroje sferoje (mokslinių tyrimų) naudojamus kompiuterius bei jo naudojami „slapstymosi“ metodai yra stipriai pasenę.

Daugiau informacijos apie virusą rasite straipsnyje „Naujai aptiktas senas Mac kenkėjas veikia ir Linux sistemoje“.

Pirmasis pranešimas apie šį naują, kaip „DNS Hijacker“ klasifikuojamą „macOS“ kenkėją pasirodė „Malwarebytes“ forume, kur naudotojas paskelbė įrašą apie kenkėją apkrėtusį jo draugo kompiuterį ir patyliukais pakeitusį DNS nustatymus. Kompiuterio DNS nustatymai buvo pakeisti taip, kad kompiuteris naudotų 82.163.143.135 ir 82.163.142.137 DNS serverius.

Daugiau informacijos apie virusą rasite straipsnyje „Naujai aptiktas senas Mac kenkėjas veikia ir Linux sistemoje“.