ФлешБэк

Все уже знают о существовании ботнета из полумиллиона «Маков»?

Проверить не заражён ли ваш «Мак» можно на специальном сайте. Я написал небольшой скрипт, который надо запускать из консоли, если лень шариться по менюшкам в поисках UUID вашей машины:
#!/bin/bash

UUID=$(/usr/sbin/system_profiler SPHardwareDataType | /usr/bin/awk '/UUID/ {print $3}')
result=$(/usr/bin/curl "http://flashbackcheck.com/check/?uuid=$UUID" 2>&-)

echo -n "Your system status is "

case "$result" in
    "")    echo NA.;;
    clean) echo -e "\033[1;32mclean.\033[0m";;
    *)     echo -e "\033[1;31minfected.\033[0m";;
esac
Либо можно сразу скачать его на запуск с «Гитхаба»:
curl -s https://raw.github.com/bolknote/shellgames/master/checkflashback.sh | /bin/bash
У меня компьютер чистый.
12 апреля 2012 19:19

warmland.ru (warmland.ru)
12 апреля 2012, 19:55

Так и представляю себе злоумышленника, который под видом такого скрипта (скачайте на запуск, проверьте) сам распространяет что-то вредоносное.

Те люди, которым трудно скопировать скрипт и запустить его, и которые поэтому предпочтут «скачивание на запуск», наверняка не станут открывать и проверять скрипт на наличие чего-то не заявленного автором. Или даже вообще не смогут этого понять.

malinnikov (malinnikov.livejournal.com)
12 апреля 2012, 20:00

можно ведь посмотреть здесь:

defaults read /Applications/Safari.app/Contents/Info LSEnvironment
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

если "pair does not exist", значит ничего не подсажено. так ведь?

bolk (bolknote.ru)
12 апреля 2012, 20:05, ответ предназначен warmland.ru:

Так и представляю себе злоумышленника, который под видом такого скрипта (скачайте на запуск, проверьте) сам распространяет что-то вредоносное.
Запросто. Только я-то не злоумышленник.

bolk (bolknote.ru)
12 апреля 2012, 20:06, ответ предназначен malinnikov (malinnikov.livejournal.com):

если «pair does not exist», значит ничего не подсажено. так ведь?
Насколько я знаю, это так. Только я не понимаю что означают эти команды и могут ли они сработать на что-то другое.

malinnikov (malinnikov.livejournal.com)
12 апреля 2012, 20:51

В DYLD_INSERT_LIBRARIES можно прописать свою библиотеку, функции которой, совпадающие по имени с оригинальными, будут вызываться вместо них.

Там, конечно, могут быть и не зловредные вещи, но если такой переменной вообще нет, то и опасаться нечего.

А эти ребята, с flashbackcheck.com, теперь имеют возможность сопоставить UUID ip-адресам даже тех маков, которые не удалось заразить :-)

malinnikov (malinnikov.livejournal.com)
12 апреля 2012, 21:00

И вообще интересно, откуда у них база зараженных машин?..

bolk (bolknote.ru)
12 апреля 2012, 21:17, ответ предназначен malinnikov (malinnikov.livejournal.com):

И вообще интересно, откуда у них база зараженных машин?..
Это проект Лаборатории Касперского, о чём там сверху написано аршинными буквами. :) Базу составили просто — ботнет коннектится на определённые хосты, имена которых вычисляются по определённому алгоритму. «Касперы» разломали алгоритм и зарегистрировали один из хостов.

malinnikov (malinnikov.livejournal.com)
12 апреля 2012, 21:29, ответ предназначен bolk (bolknote.ru):

Ага прочитал. Что это Касперский видел, меня это не сильно успокаивает.

warmland.ru (warmland.ru)
12 апреля 2012, 21:35, ответ предназначен bolk (bolknote.ru):

Запросто. Только я-то не злоумышленник.
Именно так бы злоумышленник и ответил! :)

bolk (bolknote.ru)
12 апреля 2012, 22:19, ответ предназначен warmland.ru:

У меня ответ стандартный — сайт я веду для себя, рецепты пишу для себя, сомнения других меня не касаются :)

egorinsk (инкогнито)
13 апреля 2012, 02:27

Но ведь отсутствие UUID в базе Касперского не обозначает отсутствие заражения этим вирусом (обратное — да, а так — нет). Логичнее было бы проверять файлы, которые устанавливает/модифицирует вирус, или ключи конфигурации.

malinnikov (malinnikov.livejournal.com)
13 апреля 2012, 03:50, ответ предназначен egorinsk

Они выпускали утилиту удаления инфекции, как и другие компании, но отозвали потом. Что-то криво она там делала, портила другие настройки пользователя, что ли: http://www.macworld.com/article/1166333/kaspersky_lab_suspends_flashback_fighting_tool.html

Зато алгоритм распространения они взломали (единственные?). На руках у них база, которую собирал троян, сейчас они дополняют ее "проверками" незараженных машин, содержат один (один?) троянских хост.

Не знаю, что делать с этими фактами. Наверное, нужно гордиться ребятами, надеяться, что они нас защитят. Купить их антивирус, поставить на мак, дать ему админские права, разрешить отправлять им информацию во имя мира во всем мире...

Не знаю.

beliy.pro (инкогнито)
13 апреля 2012, 10:55

Вообще интересно было бы узнать, с какой целью они собирают базу данных на пользователей Mac? На сайте нет никаких упоминаний о сроках хранения и вариантах использования полученной информации.

bolk (bolknote.ru)
13 апреля 2012, 12:27, ответ предназначен beliy.pro

Напишите им, потом расскажете.

beliy.pro (инкогнито)
13 апреля 2012, 16:10, ответ предназначен bolk (bolknote.ru):

Хорошая идея! Попробую написать. Но, думаю, результата не будет.
Отношение к соотечественникам видно сразу:
http://www.kaspersky.com/ - в подвале есть ссылка "Privacy policy"
http://www.kaspersky.ru/ - ссылки нет

Ваше имя или адрес блога (можно OpenID):

Текст вашего комментария, не HTML:

Кому бы вы хотели ответить (или кликните на его аватару)