ФлешБэк
Все уже знают о существовании ботнета из полумиллиона «Маков»?
Проверить не заражён ли ваш «Мак» можно на специальном сайте. Я написал небольшой скрипт, который надо запускать из консоли, если лень шариться по менюшкам в поисках UUID вашей машины:
#!/bin/bash
UUID=$(/usr/sbin/system_profiler SPHardwareDataType | /usr/bin/awk '/UUID/ {print $3}')
result=$(/usr/bin/curl "http://flashbackcheck.com/check/?uuid=$UUID" 2>&-)
echo -n "Your system status is "
case "$result" in
"") echo NA.;;
clean) echo -e "\033[1;32mclean.\033[0m";;
*) echo -e "\033[1;31minfected.\033[0m";;
esac
Либо можно сразу скачать его на запуск с «Гитхаба»:
curl -s https://raw.github.com/bolknote/shellgames/master/checkflashback.sh | /bin/bash
У меня компьютер чистый.
Так и представляю себе злоумышленника, который под видом такого скрипта (скачайте на запуск, проверьте) сам распространяет что-то вредоносное.
Те люди, которым трудно скопировать скрипт и запустить его, и которые поэтому предпочтут «скачивание на запуск», наверняка не станут открывать и проверять скрипт на наличие чего-то не заявленного автором. Или даже вообще не смогут этого понять.
можно ведь посмотреть здесь:
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
если «pair does not exist», значит ничего не подсажено. так ведь?
Комментарий для warmland.ru:
Запросто. Только я-то не злоумышленник.
Комментарий для malinnikov.livejournal.com:
Насколько я знаю, это так. Только я не понимаю что означают эти команды и могут ли они сработать на что-то другое.
В DYLD_INSERT_LIBRARIES можно прописать свою библиотеку, функции которой, совпадающие по имени с оригинальными, будут вызываться вместо них.
Там, конечно, могут быть и не зловредные вещи, но если такой переменной вообще нет, то и опасаться нечего.
А эти ребята, с flashbackcheck.com, теперь имеют возможность сопоставить UUID ip-адресам даже тех маков, которые не удалось заразить :-)
И вообще интересно, откуда у них база зараженных машин?..
Комментарий для malinnikov.livejournal.com:
Это проект Лаборатории Касперского, о чём там сверху написано аршинными буквами. :) Базу составили просто — ботнет коннектится на определённые хосты, имена которых вычисляются по определённому алгоритму. «Касперы» разломали алгоритм и зарегистрировали один из хостов.
Комментарий для Евгения Степанищева:
Ага прочитал. Что это Касперский видел, меня это не сильно успокаивает.
Комментарий для Евгения Степанищева:
Именно так бы злоумышленник и ответил! :)
Комментарий для warmland.ru:
У меня ответ стандартный — сайт я веду для себя, рецепты пишу для себя, сомнения других меня не касаются :)
Но ведь отсутствие UUID в базе Касперского не обозначает отсутствие заражения этим вирусом (обратное — да, а так — нет). Логичнее было бы проверять файлы, которые устанавливает/модифицирует вирус, или ключи конфигурации.
Комментарий для egorinsk:
Они выпускали утилиту удаления инфекции, как и другие компании, но отозвали потом. Что-то криво она там делала, портила другие настройки пользователя, что ли: http://www.macworld.com/article/1166333/kaspersky_lab_suspends_flashback_fighting_tool.html
Зато алгоритм распространения они взломали (единственные?). На руках у них база, которую собирал троян, сейчас они дополняют ее «проверками» незараженных машин, содержат один (один?) троянских хост.
Не знаю, что делать с этими фактами. Наверное, нужно гордиться ребятами, надеяться, что они нас защитят. Купить их антивирус, поставить на мак, дать ему админские права, разрешить отправлять им информацию во имя мира во всем мире...
Не знаю.
Вообще интересно было бы узнать, с какой целью они собирают базу данных на пользователей Mac? На сайте нет никаких упоминаний о сроках хранения и вариантах использования полученной информации.
Комментарий для beliy.pro:
Напишите им, потом расскажете.
Комментарий для Евгения Степанищева:
Хорошая идея! Попробую написать. Но, думаю, результата не будет.
Отношение к соотечественникам видно сразу:
http://www.kaspersky.com/ — в подвале есть ссылка «Privacy policy»
http://www.kaspersky.ru/ — ссылки нет