Хабрахабр

Спустя четыре месяца после обнаружения зловред Windshift для Maс до сих пор не определяется антивирусами


Источник: ASSOCIATED PRESS

Недавно обнаружилось, что вирус под Mac, который был найден четыре месяца назад, до сих пор не определяется антивирусным ПО — никаким, кроме Kaspersky и ZoneAlarm. В обычной ситуации malware любого рода после обнаружения одной из антивирусных компаний начинает детектироваться антивирусным ПО других компаний уже через день-два (если не несколько часов).

О вирусе неоднократно говорили и писали, например, здесь и вот здесь.
По мнению специалистов по информационной безопасности, Windshift (такое название получило malware) является проектом киберпреступной группы со Среднего Востока.

Для изучения вируса эксперт установил его, и сразу же проверил, насколько хорошо антивирусные системы справляются с опасностью. На прошлой неделе специалист по информационной безопасности MacOS Патрик Уардл опубликовал развернутый анализ зловреда. Как оказалось, лишь Kaspersky и ZoneAlarm «знакомы» с этим зловредом.

Тем не менее, после проверки сервиса VirusTotal, через который прогонялись файлы, имеющие отношение к зловреду, оказалось, что они почти не детектируются. Apple, как выяснили специалисты, тоже знакома с malware, поскольку цифровые сертификаты, которыми подписано ПО, отозваны (CSSMERR_TP_CERT_REVOKED). В большинстве случаев сервис не обнаруживал никаких проблем — лишь два поставщика антивирусных решений идентифицировали наличие malware.

Предоставление этих данных — обычная (можно сказать, даже рутинная) практика в мире антивирусного программного обеспечения. Все это может говорить о том, что Apple не предоставляет разработчикам антивирусов определения (definitions) известных компании malware. Если же информацию об этом никто не дает, то разработчики антивирусов ничего не знают о зловредах. Обмен этими данными помогает сервисам и антивирусному ПО быстрее научиться определять наличие новых зловредов.

Изначально потенциальным жертвам рассылаются фишинговые e-mail сообщения. Принцип действия самого зловреда достаточно прост. Как только загрузка файла завершена, зловред пытается запуститься при помощи кастомного URL, что не слишком сложно сделать. В них содержатся URL страницы с .zip файлом, содержащим malware. После установки зловред работает в системе, обеспечивая подмену URL обычных страниц. Во время попытки перейти по этому URL уже открытая страница, с которой загружен зловред делает запрос на установку стороннего ПО.

К слову, если владелец зараженной системы подключен к локальной сети, то зловред автоматически проникает и на другие девайсы, подключенные к этой же сети.

Кроме того, последние версии браузера Safari теперь показывают уведомление в том случае, если задействована система кастомного URL. Сейчас вирус уже практически неопасен, поскольку серверы, к которым он обращался, деактивированы и не работают. И если пользователь даже решает продолжать, задействуется функция безопасности Gatekeeper, которая даст владельцу Mac знать, что его система пытается установить какой-то файл.

Корпорация ответила, что проблема решена и больше не будет актуальной для ее пользователей. Не так давно журналисты ряда изданий попытались узнать у Apple, что компания сделала для ликвидации угрозы. Вполне может быть, что такая ситуация повторяется и с другими malware, а не только Windshift, поэтому такую линию поведения компании сложно объяснить с точки зрения заботы о своих пользователях. Тем не менее, неясно, что именно сделано и почему Apple не предоставляет данные об угрозе антивирусным сервисам.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть