Uživatelé OS X si rádi dělají legraci z uživatelů Windows jako jediní, kteří mají problém s malwarem. Ale to už prostě není pravda a problém se za posledních několik měsíců dramaticky zvýšil. Připojte se k nám, když odhalíme pravdu o tom, co se ve skutečnosti děje, a doufejme varujte lidi před blížící se zkázou.
Vzhledem k tomu, že se ve skutečnosti jedná o Unix pod kapotou, má OS X nativní ochranu proti nejhorším typům virů. Dnešním problémem však nejsou viry, které úplně rozbijí váš počítač, je to spyware, crapware a adware, které se vplíží do vašeho počítače, unesou váš prohlížeč, vloží reklamy a sledují, na co se díváte. A hodně z toho je legální, protože vás během instalace přiměje klikat na špatnou věc.
PŘÍBUZNÝ: Download.com a další svazují adware se superhrdinami ve stylu HTTPS
A nyní stahujte weby, falešné reklamy na software ve vyhledávačích a útržkovité aplikace sdružují adware a crapware do instalačních programů pro legitimní software. Už nemůžete předpokládat, že jste v bezpečí, protože používáte OS X. Musíte být opatrní, co stahujete a na co klikáte.
Pokud si nemyslíte, že je to velký problém, zamyslete se znovu. Tyto kousky adwaru se vkládají přímo do prohlížeče a analyzují a běží i na zabezpečených webech, jako je vaše banka, web s kreditními kartami a e-mail, a odesílají zpět data na jejich servery. Nepoužívají proxy únos HTTPS zatím z toho, co můžeme během našeho výzkumu říci, ale je to jen otázka času, a možná to už budou dělat, a zatím jsme nenašli důkaz.
Jelikož jsme zde v How-To Geek sami primárně uživateli počítačů Mac, doufáme, že Apple s tímto problémem zaujme jinou taktiku než Microsoft s Windows a nedovolí těmto podvodníkům zničit jejich platformu.
Balíček Crapware pro OS X se každým dnem zhoršuje
Nebylo to tak dávno, co jste mohli nainstalovat téměř cokoli pro OS X z téměř jakéhokoli webu, a vlastně jste si nemuseli dělat starosti s tím, na co jste klikli. To už prostě není pravda, a přestože jsou věci lepší než ve Windows, v tomto okamžiku je to jen otázka času.
PŘÍBUZNÝ: Tady je to, co se stane, když si nainstalujete top 10 aplikací Download.com
Stále máte bezpečný zdroj softwaru pro Mac App Store, ale problém je, že ne všichni prodejci prodávají svůj software prostřednictvím App Store a mnoho z nich tam prodává starší verze a nejnovější verzi má na svém vlastním webu. Pokud se budete držet App Store, nemusíte se ničeho obávat. Byli bychom rádi, kdyby Apple opravil některé problémy s App Store a umožnil všem je používat.
Stejně jako v systému Windows vy nemusíte hledat nic jiného než Stažení CNET najít svázaný crapware ... dokonce i pro Mac. To je pravda, s těmito nesmysly přešli napříč platformami. A ještě to zhoršili, protože máte buď tlačítko Instalovat, nebo Zavřít. Už neexistuje ani Pokles! Když kliknete na Zavřít, instalační program se úplně vypne. Buď tedy máte přibalený crapware, který unese váš prohlížeč, nebo si tuto aplikaci nemusíte instalovat.
Ten na snímku obrazovky nainstaluje Spigot a spoustu dalších nesmyslů, které přesměrují váš prohlížeč na Yahoo, nainstaluje spoustu nechtěných pluginů a obecně rozplačí létající špagetové monstrum. Je úžasné, kolik peněz se Yahoo do těchto věcí musí ponořit, aby uneslo váš prohlížeč do jejich vyhledávače ... i když to není ani jejich. Yahoo Search je opravdu jen rebrandovaná verze Bingu. Ach, dobře.
Ach můj! Na další obrazovce vám instalační program konečně umožní znovu něco odmítnout! Možná je ta věc na snímku tak špatná, že ani stahování CNET vám ji nechce vnucovat. Není to dobré znamení.
Samozřejmě to není jen stahování CNET, které provádí sdružování - našli jsme řadu dalších aplikací, které jsou distribuovány na freewarových webech ke stažení, které dělají své vlastní sdružování. Například YTD načte HTTPS-únos adware pro Windows má verzi pro Mac. A také svazují Spigot. Chcete něco torrentovat? Proč si nejde stáhnout uTorrent z jejich webu? Vypadá to, že to lidé rádi používají. Ohhh.
Problém se mnohem, mnohem horší, když se pokusíte vyhledat freeware pomocí svého oblíbeného vyhledávače. Zde stojí za zmínku, že Google se nedávno začal pokoušet zakázat dodávaný crapware z jejich výsledků a reklam, ale bohužel Yahoo a Bing nemají stejnou úžasnou úroveň. Ve skutečnosti jsou prostě hrozní.
Pokud jste průměrný běžný uživatel a hledáte na Yahoo „vlc download“, zobrazí se vám něco, co vypadá jako další snímek obrazovky. A každá jednotlivá věc na stránce je ve skutečnosti odkazem na dodávaný instalační program crapware pro VLC a téměř všechny jsou multiplatformní a fungují na OS X. A text, který říká „ad“, je téměř neviditelný.
Když se nic netušící uživatel pokusí použít některý z těchto instalačních programů, zobrazí se mu obrazovka podobná této ... která nainstaluje hrozbu InstallMac, která unese vše a umístí do vašeho systému adware - je to hrozné. A další obrazovka se samozřejmě pokusí přimět vás k instalaci něčeho jiného, co nepotřebujete. A pak něco jiného. Je to tolik crapwaru.
Našli jsme mnohem více softwaru, který je takto obsluhován, s množstvím instalačních programů téměř od každé dodávané společnosti instalující crapware. Zde je instalační balíček pro OpenOffice dodávaný s opravdu mizerným kusem adwaru, který převezme kontrolu nad vaším prohlížečem. Jo, znovu jsme prohledali Yahoo pro OpenOffice a klikli na to, o čem jsme si ve skutečnosti mysleli, že je skutečným webem, protože jejich „reklamní“ text byl tak malý, že jsme nemohli poznat rozdíl. A to je to, co přišlo.
Pro uživatele počítačů Mac se to stane epidemií. Na co se tedy musíme těšit?
Adware a malware v systému OS X jsou téměř stejně hrozné jako v systému Windows
Když se vám podaří něčím nakazit, většina adwaru, malwaru a spywaru v systému OS X se pokusí nějak infikovat váš prohlížeč, unést vaši novou kartu, hledat a domovské stránky, vkládat reklamy na stránky a náhodně vyskakování nepříjemných upozornění na technickou podporu. Většina z nich nevymaže váš pevný disk ani nic strašného ... ale na základě rostoucí sofistikovanosti, kterou vidíme, je to jen otázka času.
Mnoho z těchto únosců prohlížeče vloží reklamy, které vyskakují zprávy, které nelze odmítnout bez ohledu na to, co děláte, jak vidíte na výše uvedeném snímku obrazovky. A oni se budou náhodně zobrazovat po celou dobu procházení, a musíte CMD + Q úplně zavřít aplikaci, abyste se jich zbavili. Váš prohlížeč se v podstatě stane zcela zbytečným.
Nejjednodušší adware se sám nainstaluje do vašeho prohlížeče jako rozšíření a resetuje všechny vaše stránky, aby prošel svým strašným a hrozným vyhledávačem. A tím myslíme většinou Yahoo ... ale existuje spousta dalších, jako je searchmoose, quick-search a searchbenny, kteří používají své vlastní falešné vyhledávače. Několik z nich vás přesměruje na Bing, ale nikdy přímo. Vždy je to prostřednictvím prostředníka, jako je Trovi.
Většina reklam, které se injektují, se vás pokusí přimět k instalaci ještě více reklam pomocí falešných zpráv pluginu Java nebo zpráv, které vám řeknou, abyste si nainstalovali kodek nebo novou verzi Flash. To vše je samozřejmě falešné a do počítače nainstaluje ještě více crapwaru a malwaru. Občas se jeden z nich pokusí naservírovat kus Windows adware, ale většinou jsou natolik chytří, aby věděli, že jste uživatel Macu a naservírujete vhodný kousek crapwaru.
Mnoho adwaru přesměruje váš vyhledávač na falešný vyhledávač, který vypadá hodně jako Google nebo Bing, ale všechny výsledky nejsou nic jiného než reklamy.
A pak s tebou náhodně začne mluvit. Doslova. Přehrává zvukové reklamy prostřednictvím vašich reproduktorů. Slyšeli jsme reklamu na Northrupa Grummana. Jak šílené to je? (Jsme si zcela jisti, že o tom nevědí.)
Právě jsme předvedli některé nepříjemné adware, ale většina dodávaného crapwaru je také docela mizerná věc a téměř každý svazek crapware, který jsme našli, a téměř každá reklama adware se nás pokusila přimět k instalaci MacKeeper. Moc toho nevíme, i když plánujeme prozkoumat, jak to funguje, protože tato taktika je sporná.
Největší trend, který jsme si v adwaru všimli, je ten, že téměř všichni se snaží přesměrovat váš prohlížeč a vyhledávač na Yahoo. Někdo tam na Yahoo musí dostat padáka.
Kopání hlouběji: Jak některé z těchto malware ve skutečnosti fungují
Jednoduchý adware funguje stejně jako většina adwaru, protože se instaluje do rozšíření Safari, které se odinstaluje docela snadno. Problém je v tom, že v našem výzkumu takto fungovalo pouze několik kusů adwaru.
Všechny únosy vyhledávacích strojů, přesměrování na domovské stránky a rozšíření vkládající reklamy jsou jedna věc. Větším problémem je závažný malware, který se instaluje hluboko do operačního systému a průměrný člověk by jej nikdy nedokázal odstranit. Neexistuje žádný odinstalační program, neexistuje žádná položka Po spuštění, v prohlížeči nejsou žádné doplňky, rozšíření ani cokoli jiného, co se zdá být nainstalováno.
Existují však opravdu hrozné reklamy vstřikované do všeho, co děláte, takže váš počítač je pomalejší než špína. Váš vyhledávač bude unesen a je možné, že bude váš prohlížeč směrován přes proxy. Toto je naprostý malware, už to není jen adware, i když jste někde náhodou zapomněli odškrtnout políčko. Funguje to stejně jako Malware Trovi funguje v systému Windows tím, že se vstřikuje do procesů.
Tyto vážnější části malwaru se instalují jako démon nebo služba, která běží na pozadí a v zákulisí. Tyto věci najdete ve složce / Library / LaunchAgents nebo / Library / LaunchDaemons, kde budou některé opravdu divně vypadající položky, které prostě nepatří. Tuto složku lze také použít pro skutečné věci ze skutečných aplikací, takže tuto složku nevyčistěte úplně nebo tak něco.
Zkoumání souboru plist vám ukáže, kde se nachází skutečný malware, který je obvykle ve zcela samostatné složce.
Když se dostanete do této složky a prozkoumáte soubor Version.plist, získáte další informace o tom, co se vlastně děje. Tato věc se nazývá Search-Quick a z nějakého důvodu podporuje únos Chrome a Safari, stejně jako noční sestavení Webkit.
Další zkoumání přichází s něčím zvědavým ... osoba, která tento malware napsala, chtěla své matce zvlášť poděkovat.
Jakmile je malware spuštěn OS X jako démon, používá v OS X málo známou část funkcí, která umožňuje jednomu procesu vložit se do jiného procesu. Jak to funguje, můžete vidět otevřením terminálu a přímým spuštěním spustitelného souboru agenta. Ve skutečnosti se to děje tak, že se připojí k vašemu webovému prohlížeči a načte se jako skryté rozšíření. Na níže uvedeném snímku obrazovky vidíte, že se aktivoval pro proces ID 544, kterým byl Google Chrome. Totéž udělá se Safari, pokud je otevřený.
To znamená, že běží adware nebo malware uvnitř vašeho webového prohlížeče a vkládá se do každé stránky, kterou navštívíte. Nezáleží na tom, zda navštěvujete zabezpečené bankovní stránky nebo ne, ty jsou již uvnitř. Jedním z vedlejších účinků tohoto malwaru je, že celý váš počítač bude neustále extrémně pomalý, bez ohledu na to, co děláte.
Několik tipů na odstranění adwaru a malwaru v OS X můžete přečtěte si dokument podpory Apple , nebo jen počkejte na naše nadcházející články na toto téma. Všechny tyto věci ještě mnohem podrobněji prozkoumáme.
Co to všechno znamená a jak se chráníte?
I když jsme prokázali, že malware, adware, crapware a spyware se v systému OS X stále zhoršují, neznamená to, že se musíte nutně bát nebo jít ven a nainstalovat Linux nebo udělat něco drastického. OS X stále není tolik zaměřen jako Windows a stále existují některá bezpečnostní opatření, která ztěžují průchod malwaru.
Nejbezpečnější věcí, kterou můžete udělat, je použít Mac App Store k instalaci aplikací, kdykoli je to možné. Tyto aplikace byly ověřeny společností Apple a měly by být v pořádku, a určitě nebudou dodávány s žádným dodávaným crapwarem nebo adwarem.
Omezte aplikace, které nejsou z App Store
To problém úplně nevyřeší, ale můžete nakonfigurovat OS X tak, aby automaticky omezil všechny spustitelné soubory, které nepocházejí z App Store. To se nevztahuje na aplikace již nainstalované v počítači, bez ohledu na to, odkud pocházejí. Bude se jednoduše vztahovat na nová stahování.
Přejděte na Předvolby systému -> Zabezpečení a soukromí, klikněte na ikonu Zámek dole a poté místo výchozího nastavení přepněte na Mac App Store.
Jakmile to uděláte, pokus o spuštění všeho, co není v App Store, automaticky zobrazí blokovou zprávu. Můžete se rozhodnout jej stále otevřít, pokud kliknete pravým tlačítkem a vyberete Otevřít a poté znovu vyberete Otevřít, ale ve výchozím nastavení je vše blokováno.
To nevyřeší problém aplikací, které máte do chcete nainstalovat s přiloženým crapwarem, které ve výchozím nastavení vyžaduje odhlášení. Ale je to skvělé nastavení zabezpečení pro vaše příbuzné.
Pokud potřebujete nainstalovat aplikaci odjinud, ujistěte se, že se jedná o skutečně důvěryhodný zdroj, a nikoli o falešný web nabízející freeware s otevřeným zdrojovým kódem s balíčkem balíčků.
PŘÍBUZNÝ: Oracle nemůže zabezpečit modul plug-in Java, tak proč je ve výchozím nastavení stále povolen?
Měli byste také zvážit deaktivaci pluginů prohlížeče - pro Chrome a Firefox, to je docela snadné , pro Safari je to trochu komplikovanější . Největší věc, kterou můžete udělat, je deaktivujte svůj Java plugin , protože to je docela vzácné, když to potřebujete, a protože Java byla v roce 2013 zodpovědná za 91% útoků . Tím se sníží vaše pravděpodobnost terčem útoku nultého dne .
Může být dokonce čas začít uvažovat o antiviru pro OS X, alespoň pokud chcete instalovat spoustu softwaru ze zdrojů mimo App Store. Pokud tak neučiníte, pravděpodobně to nebude tak velký obchod, ale přibližujeme se k bodu, kdy to bude potřeba. To, co si ještě nejsme jisti, je to, co je antivirus pro Mac dokonce užitečné a blokuje tento typ věcí - v systému Windows většina antivirových programů vůbec neblokuje dodávaný crapware a adware, protože jsou legální, protože jste museli souhlasit během instalační proces. Právě teď tedy neplaťte jen za nějaký antivirus. Mějte to na paměti pro budoucnost.
Kromě toho buďte opatrní, na co klikáte, a nedůvěřujte chybovým zprávám, které se objevují v okně webového prohlížeče. Pokud uvidíte něco, co říká, že je váš počítač infikován, a zobrazí se zpráva, podržte kombinaci klávesových zkratek CMD + Q a okamžitě vše zavřete.
Není lepší čas, aby uživatelé Windows přepnuli na Mac. Díky vývoji tohoto množství crapwaru a adwaru se budou cítit jako doma! (Samozřejmě si děláme legraci.)
