Išsiaiškinta kaip „iWorm“ užkrečia Mac

Thomas iš Safe Mac išsiaiškino kaip iWork užkrečia Mac kompiuterius.

Šiandien ryta pabudęs Thomas rado elektroninį laišką, kuriame nežinomu panoręs išlikti nurodė, kad rado „iWorm“ įdiegimo aplikacijas ir nurodė į The PirateBay vartotoją „aceprog“, kurio paskyroje yra eilės komercinių aplikacijų, tokių kaip Adobe Photoshop, Adobe Illustrator, Microsoft Office ir Parallels įdiegimo distributyvai. Įdiegęs savo kompiuteryje torrentų aplikaciją jis atsiuntė vieną iš „aceprog“ platinamų aplikacijų Photoshop CC 2014.

Atsisiųstas paketas, be Photoshop CC 2014, iš pirmo žvilgsnio, neturėjo nieko labai pavojingo tik kelias papildomas ir nereikalingas aplikacijas, kurias norint kad kas nors naudotų tikriausiai reikėtų primokėti, todėl įtarimai nukrypo į pačios Photoshop diegimo aplikaciją, kuri buvo modifikuota:

Nusiuntus šiuos paleidžiamuosius failus į Virus Total tik vienas iš trijų, pavadinimu „0“ buvo atpažintas kaip ne visiškai saugus, o likę du buvo pripažinti saugiais. Panašu, kad pats diegimo procesas buvo tikras, tačiau failas pavadinimu „1“ kėlė įtarimų.

Thomas nebuvo tikras ko tikėtis atidarant failą. Normalu būtų tikėtis, pakeitimai padaryti faile turėtų iššaukti OS X klaidą, nes sistema atpažintų jį kaip pažeistą, nes diegimo paketas yra pasirašytas (užšifruotas parašas OS X leidžia sistemai patikrinti, kad konkretus paketas yra sukurtas tam tikro programuotojo ir nėra modifikuotas). Tačiau atidarius failą rezultatas buvo kiek kitoks:

Nors iš pirmo žvilgsnio atrodė, kad aplikacija yra pasirašyta, tačiau ją patikrinus komandos codesign -vv pagalba pasirodė, kad taip nėra. Thomas atliko Gatekeeper pakeitimus leidžiančius aplikaciją įdiegti ir nepasirašytą aplikaciją.

Pirmas dalykas kas įvyko atidarius diegimo aplikaciją - ji paprašė nurodyti kompiuterio administratoriaus slaptažodį ir jį nurodžius pasileido oficiali Photoshop CC 2014 diegimo aplikacija, bet kenkėjas jau buvo įdiegtas. Vos tik Thomas nurodė kompiuterio administratoriaus slaptažodį, iWorm tą pačią akimirką patogiai užėmė savo pozicijas jo Mac’e.

Stebint kas vyksta kompiuteryje „fs_usage“ komandos pagalba (fs_usage pateikia išsamią informaciją apie tai kas vyksta kompiuteryje, tokią kaip failų ar aplankų kūrimas ir panašiai). Šios komandos pagalba Thomas pastebėjo, kad vieninteliai dalykai ką padarė „0“ paleidžiamasis failas - jis sukūrė šiuos failus:
/Library/Application Support/JavaW/JavaW
/Library/LaunchDaemons/com.JavaW.plist

com.JavaW.plist failas paprasčiausiai paleidžia JavaW procesą kompiuteriui startuojant ir pasirūpina, kad kenkėjiškas kodas visada būtų paleistas foniniame režime.

Thomas atstatė sistemą į saugią ir kenkėjų neturinčią ir tada vėl paleido Photoshop CC 2014 diegimo paketą, tačiau dabar paprašytas nurodyti administratoriaus slaptažodį jis paspaudė „Cancel“ ir šį kartą kenkėjas įdiegtas nebuvo.

Buvo įtarimų, kad šiame procese vienaip ar kitaip dalyvauja Java pažeidžiamumas, greičiausiai dėl kenkėjo naudojami „JavaW“ pavadinimo. Tačiau, bent jau dabar, tokie pasvarstymai atrodo labiau teoriniai. Tai tiesiog „trojanas“ kodifikuotoje programinėje įrangoje.

Iš vienos pusės visai nepikta, kad kenkėjai yra nusitaikę į vogtą programinę įrangą naudojančius vartotojus, liūdna tai, kad dėl tokių vagišių kenčia visai niekuo dėti žmonės ir kompanijos į kuriuos programišiai nusitaiko tokių apkrėstų ir botneto dalimi tapusių kompiuterių pagalba. Jei neturite pinigų reikiamai programinei įrangai nusipirkti - apsieikite be jos, nes tai rodo, kad veikla, kuriai naudojate tas aplikacijas neatneša jums pakankamai pajamų, kad galėtumėte ją naudoti.

Taip pat skaitykite:
Dr. Web pranešė apie naują kenkėją Mac kompiuteriams
Mac OS X virusų/kenkėjiškų programų sąrašas

Apie Ramūnas Blavaščiūnas

Fotografijos, geros technikos ir kavos mylėtojas

Komentarų: 4 | Ačiū, kad rašote lietuviškai

  1. O jeigu administratoriaus slaptažodžio iš viso nėra, tai turbūt ir nepastebėsi, kad kirminas įsidiegė...

    • Teko girdėti, kad būna vartotojų, kurie naudoja darbui administratoriaus paskyrą ir dar be slaptažodžio bei automatinį prisijungimą prie kompiuterio ir saugumo nustatymuose yra nurodę leisti aplikacijas diegti iš bet kur ir iš bet kur (piratines) jas diegia... bet tada taip jiems ir reikia, nes ko jie tikisi taip rūpindamiesi savo saugumu...
      Kaip pasiklosi - taip ir išsimiegosi ir jei taip rūpi saugumas nėra ko verkšlenti paskui, kad pavogė kompą ir ištrynė visus duomenis ar prisigaudei visokio brudo ir kompas blogai veikia...

      Tikriausiai vargu ar stebėtumėmės, kad apvogė ar kokių nors nesąmonių pridarė namie, jei mes niekada nerakintumėm durų, laikytumėme jas atidarytas, vedžiotumėmės visus iš bet kur ir visiems leistumėme ten daryti kas tik jiems šauna į galvą.

  2. Kam siusti is nezinomu saltiniu tokias programas jei gali atsisiusti tiesiai is Adobe puslapio orginala :)

Parašykite komentarą

Į viršų