Пора проверить свой Mac на заражение OSX.Snake

Пора проверить свой Mac на заражение OSX.Snake

К сожалению, нам приходится все чаще сообщать о новых примерах вредоносного ПО, найденных пользователями macOS и OS X. Новая вредоносная программа изначально использовала уязвимости операционной системы Windows. Теперь она начала свою работу и на компьютерах Mac, маскируясь под установочный файл Adobe Flash Player и прячась в уже существующие папки. Такое мы уже видели.

Пора проверить свой Mac на заражение OSX.Snake

Прячется вредоносная программа для того, чтобы ее было сложнее обнаружить. Еще она использует действующий сертификат разработчика, что позволяет ей свободно устанавливаться даже при включенной функции Gatekeeper. Это уже вторая вредоносная программа, о которой стало известно за последнюю неделю, использующая действующий сертификат.

Вредоносную программу назвали «Snake». По данным Malwarebytes, она путешествует по компьютерам под управлением Windows с 2008 года. В 2014 году была обнаружена версия вредоносной программы для Linux. На macOS вредоносная программа попадает в качестве файла Adobe Flash Player.app.zip. Этот файл содержит версию Flash Player, но не только.

К сожалению, многие пользователи не станут проверять содержимое пакета установки перед запуском, а ведь это могло бы их защитить.

Пора проверить свой Mac на заражение OSX.Snake

Вам стоит знать, что уже на данный момент Gatekeeper не пропустит приложение, подписанное вышеупомянутом сертификатом. При установке Adobe Flash Player обратите внимание на это. Если же вы хотите узнать, не был ли ваш Mac уже заражен, вы можете проверить его с помощью программы Malwarebytes. Она обнаружит вредоносное ПО, идентифицировав его как OSX.Snake, и удалит.

Если вы хотите выполнить проверку самостоятельно, вам стоит знать, что вредоносная программа имеет следующие компоненты:

  • /Library/Scripts/queue
  • /Library/Scripts/installdp
  • /Library/Scripts/installd.sh
  • /Library/LaunchDaemons/com.adobe.update.plist
  • /var/tmp/.ur-*
  • /tmp/.gdm-socket
  • /tmp/.gdm-selinux

Если ваш компьютер был заражен, рекомендуется сменить пароли везде, где можно.

Источник

Поделиться: