Che cosa fa il malware Flashback?

5

C'era una domanda su rimuovere il malware Flashback dal tuo computer OS X, ma non lo sono ancora chiaro su quello che fa. Che cosa fa esattamente il malware Flashback quando viene installato sul tuo Mac?

    
posta daviesgeek 07.05.2012 - 18:14
fonte

3 risposte

6

Da Wikipedia :

The Trojan [FlashBack] targets a Java vulnerability on Mac OS X. The system is infected after the user is redirected to a compromised bogus site, where JavaScript code causes an applet containing an exploit to load. An executable file is saved on the local machine, which is used to download and run malicious code from a remote location. The malware also switches between various servers for optimised load balancing. Each bot is given a unique ID that is sent to the control server.. The trojan, however, will only infect the user visiting the infected web page, meaning other users on the computer are not infected unless their user accounts have been infected separately, this is due to the UNIX security system.

Per una descrizione più lunga e più tecnica, leggi questo articolo di F-Secure .

    
risposta data 07.05.2012 - 18:18
fonte
2

Significa che qualcuno ha aggirato la sicurezza del tuo Mac e può installare nuovi programmi, rubare dati come password, posizioni di siti Web bancari e forse altre e-mail e informazioni personali sensibili.

Significa anche che è possibile installare altri software sul tuo Mac se si connette a Internet per fare altri atti simili.

Infine, potrebbe mandare in crash il Mac se il programma ha errori logici o non è stato testato a fondo.

Se sei veramente interessato a questo argomento, ecco alcuni link che ho trovato utili per capire il problema. Il programma stesso è chiaramente abbastanza sofisticato e proverà a installarsi come un processo di amministrazione (controllo totale) e se non può scalare l'accesso all'equivalente dell'accesso root, si installerà comunque come un processo a livello utente e lavorerà con i file, ma non i dati dell'intera macchina.

La società, Intego, che per primo ha segnalato questo exploit ha stabilito un buon record per fornire report e valutazioni equilibrati dei rischi del malware Mac. è stato specificamente progettato per afferrare le password e anche se i resoconti degli sforzi di mitigazione hanno sicuramente ridotto il peso del danno, credo che sia una follia assumere che tutte le varianti del" trojan flashback "siano completamente neutralizzate o addirittura rilevate perfettamente .

Ciò che è sempre preoccupante è quando un trojan ha ottenuto con successo il controllo di un computer e può controllare con altri computer per scaricare nuove istruzioni, il cielo è il limite di ciò che può essere fatto se il programma non viene rilevato e le persone che corrono ha la possibilità di guadagnare sfruttando informazioni personali, password o semplicemente indirizzando il traffico verso siti che ricevono compensi da reti legittime come Google e altri.

Letture aggiuntive:

Non intendo causare allarmi ingiustificati, ma questo programma non solo è stato interpretato come direzione dei risultati di ricerca per pagare entrate di clic su vasta scala, ma ha anche fatto un buon lavoro nel tentativo di raccogliere password da mac compromessi prima che le contromisure fossero schierato.

    
risposta data 14.05.2012 - 00:22
fonte
0

la risposta breve è che non ha fatto nulla, la risposta lunga è I server malevoli non sono stati "attivati" alla data della domanda OP. non erano "attivati" per spingere nulla verso la botnet, o verso le macchine infette.

se sono attivati oggi .. o quando qualcuno lo legge, non saranno ancora in grado di fare nulla, perché il numero di macchine infette è stato esagerato in primo luogo dalle "stime" (che è il motivo per cui non era "acceso", non ne aveva abbastanza) e quale fosse il numero reale, ora è ridotto a un numero così piccolo che l'efficacia della botnet, (che è stata configurata per fare un tipo Denial of service di attacco) è completamente non efficace come un DNS .. così ha fatto e lo fa, e non farà nulla ....

il malware può anche provare a rubare password o accessi utente ... ciò che la gente non ti dice è che l'app che dovrebbe essere scaricata per farlo è estremamente complessa, e anche in realtà non è fatta qui. (nessuna delle applet di cui si è "installato" l'ha fatto) (né potrebbe in realtà)

ci sono state molte informazioni errate trasmesse su questo ... comprese le "stime" dell'infezione ... fatte da un'azienda russa di sicurezza ... (le informazioni errate vengono principalmente usate per pubblicizzare prodotti di sicurezza e nomi di marchi per cercare di convincere la gente a spendere un po 'di soldi un giorno)

per dimostrare quanto "fuori" fossero le stime, altre squadre di aziende "di sicurezza", che non erano russi, settimane dopo hanno mostrato molte meno infezioni, che non è la prova in sé, che era la prova, era che la sicurezza russa originale poi è uscito con un nuovo numero che era vicino al numero originale di infezioni ... mostrando le loro "stime" per essere sempre fuori ... (una seconda società di sicurezza russa ha "confermato" il loro numero, ma in realtà stavano lavorando insieme) ....

il secondo bit di disinformazione era che poteva "infettare" il tuo computer senza che tu inserissi la tua password, questo non è corretto, potrebbe mettere un'applet in una directory di safari (o altro), solo se hai dato il tuo password ... che cosa stava facendo se non ti avesse mandato a digitare una password, c'erano altri vettori di attacco che in generale non erano efficaci ...

come prova di questo ... i passaggi per rimuovere l'applet da "società di sicurezza" comprendevano i comandi sudo del terminale che richiedono la tua password, in altre parole per eliminarlo, hai bisogno di una password, per aggiungerla serve anche la tua password .. . (ci sono eccezioni a questo, come l'esecuzione come root, e il numero di utenti che lo fanno nelle immediate vicinanze del raggio di 1000 miglia che potrei contare su una mano) (sto esagerando, ma solo per mostrare il punto) ...

in breve, sei solo una vittima di un overhype ... WAY overhype ... quasi ogni variante di questo fino a quando le persone non ne erano così consapevoli che non poteva più contagiare, era una versione che faceva finta di essere un aggiornamento flash, o simile ... (da cui il nome)

se non hai ricevuto una richiesta per "aggiornare" il tuo flash con un messaggio simile a un grande box come installer ... e, cosa più importante, sono stati più intelligenti di un utente medio del computer e hanno riconosciuto che ogni attacco di social engineering inizia da .. . "è necessario installare un aggiornamento" oppure installare un'app software antivirus ...

quindi non hai nemmeno bisogno di controllare per vedere se hai il malware ...

in effetti un po 'di fatto ci mette molto a capire questo ...

più persone sono infette installando software "anti-virus", che era il trojan più di quanto non facciano altri malware ora ...

ed eccovi altri ... più utenti di computer hanno perso dati (o tempi morti) per LEGITIMATE software antivirus, che gli utenti Mac hanno perso dati (o tempi morti) per malware ... perché i programmi software stessi avevano bug in loro che gli aggiornamenti dalle aziende sarebbero diventati rudi credendo che alcuni file non fossero corretti ... che erano in realtà file importanti ...

ecco un altro, non un singolo pacchetto software AV rileva o è in grado di sbarazzarsi del malware, fino a quando il malware non è nella natura ... e devi aggiornare quel software AV .... questo non è software preemptive, è dopo il fatto che il software ... che fa un utente mac poco bene ... specialmente se sei un utente che ti tiene al corrente delle cose .. e sai cose circa lo stesso tempo in cui è disponibile un aggiornamento ...

    
risposta data 14.05.2012 - 00:14
fonte

Leggi altre domande sui tag