ФлешБэк

Все уже знают о существовании ботнета из полумиллиона «Маков»?

Проверить не заражён ли ваш «Мак» можно на специальном сайте. Я написал небольшой скрипт, который надо запускать из консоли, если лень шариться по менюшкам в поисках UUID вашей машины:

#!/bin/bash

UUID=$(/usr/sbin/system_profiler SPHardwareDataType | /usr/bin/awk '/UUID/ {print $3}')
result=$(/usr/bin/curl "http://flashbackcheck.com/check/?uuid=$UUID" 2>&-)

echo -n "Your system status is "

case "$result" in
    "")    echo NA.;;
    clean) echo -e "\033[1;32mclean.\033[0m";;
    *)     echo -e "\033[1;31minfected.\033[0m";;
esac

Либо можно сразу скачать его на запуск с «Гитхаба»:

curl -s https://raw.github.com/bolknote/shellgames/master/checkflashback.sh | /bin/bash

У меня компьютер чистый.

Поделиться
Отправить
2012  
15 комментариев
warmland.ru

Так и представляю себе злоумышленника, который под видом такого скрипта (скачайте на запуск, проверьте) сам распространяет что-то вредоносное.

Те люди, которым трудно скопировать скрипт и запустить его, и которые поэтому предпочтут «скачивание на запуск», наверняка не станут открывать и проверять скрипт на наличие чего-то не заявленного автором. Или даже вообще не смогут этого понять.

malinnikov (malinnikov.livejournal.com)

можно ведь посмотреть здесь:

defaults read /Applications/Safari.app/Contents/Info LSEnvironment
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

если «pair does not exist», значит ничего не подсажено. так ведь?

Евгений Степанищев (bolknote.ru)

Комментарий для warmland.ru:

Так и представляю себе злоумышленника, который под видом такого скрипта (скачайте на запуск, проверьте) сам распространяет что-то вредоносное.

Запросто. Только я-то не злоумышленник.

Евгений Степанищев (bolknote.ru)

Комментарий для malinnikov.livejournal.com:

если «pair does not exist», значит ничего не подсажено. так ведь?

Насколько я знаю, это так. Только я не понимаю что означают эти команды и могут ли они сработать на что-то другое.

malinnikov (malinnikov.livejournal.com)

В DYLD_INSERT_LIBRARIES можно прописать свою библиотеку, функции которой, совпадающие по имени с оригинальными, будут вызываться вместо них.

Там, конечно, могут быть и не зловредные вещи, но если такой переменной вообще нет, то и опасаться нечего.

А эти ребята, с flashbackcheck.com, теперь имеют возможность сопоставить UUID ip-адресам даже тех маков, которые не удалось заразить :-)

malinnikov (malinnikov.livejournal.com)

И вообще интересно, откуда у них база зараженных машин?..

Евгений Степанищев (bolknote.ru)

Комментарий для malinnikov.livejournal.com:

И вообще интересно, откуда у них база зараженных машин?..

Это проект Лаборатории Касперского, о чём там сверху написано аршинными буквами. :) Базу составили просто — ботнет коннектится на определённые хосты, имена которых вычисляются по определённому алгоритму. «Касперы» разломали алгоритм и зарегистрировали один из хостов.

malinnikov (malinnikov.livejournal.com)

Комментарий для Евгения Степанищева:

Ага прочитал. Что это Касперский видел, меня это не сильно успокаивает.

warmland.ru

Комментарий для Евгения Степанищева:

Запросто. Только я-то не злоумышленник.

Именно так бы злоумышленник и ответил! :)

Евгений Степанищев (bolknote.ru)

Комментарий для warmland.ru:

У меня ответ стандартный — сайт я веду для себя, рецепты пишу для себя, сомнения других меня не касаются :)

egorinsk

Но ведь отсутствие UUID в базе Касперского не обозначает отсутствие заражения этим вирусом (обратное — да, а так — нет). Логичнее было бы проверять файлы, которые устанавливает/модифицирует вирус, или ключи конфигурации.

malinnikov (malinnikov.livejournal.com)

Комментарий для egorinsk:

Они выпускали утилиту удаления инфекции, как и другие компании, но отозвали потом. Что-то криво она там делала, портила другие настройки пользователя, что ли: http://www.macworld.com/article/1166333/kaspersky_lab_suspends_flashback_fighting_tool.html

Зато алгоритм распространения они взломали (единственные?). На руках у них база, которую собирал троян, сейчас они дополняют ее «проверками» незараженных машин, содержат один (один?) троянских хост.

Не знаю, что делать с этими фактами. Наверное, нужно гордиться ребятами, надеяться, что они нас защитят. Купить их антивирус, поставить на мак, дать ему админские права, разрешить отправлять им информацию во имя мира во всем мире...

Не знаю.

beliy.pro

Вообще интересно было бы узнать, с какой целью они собирают базу данных на пользователей Mac? На сайте нет никаких упоминаний о сроках хранения и вариантах использования полученной информации.

Евгений Степанищев (bolknote.ru)

Комментарий для beliy.pro:

Напишите им, потом расскажете.

beliy.pro

Комментарий для Евгения Степанищева:

Хорошая идея! Попробую написать. Но, думаю, результата не будет.
Отношение к соотечественникам видно сразу:
http://www.kaspersky.com/  — в подвале есть ссылка «Privacy policy»
http://www.kaspersky.ru/  — ссылки нет

Популярное