Пользователи OS X любят высмеивать пользователей Windows, как единственных, у кого есть проблема с вредоносным ПО. Но это уже не так, и проблема резко возросла за последние несколько месяцев. Присоединяйтесь к нам, чтобы раскрыть правду о том, что на самом деле происходит, и, надеюсь, предупредить людей о надвигающейся гибели.
Поскольку на самом деле это Unix, OS X имеет некоторую встроенную защиту от худших типов вирусов. Но проблема в наши дни не в вирусах, которые полностью ломают ваш компьютер, а в шпионском, вредоносном и рекламном ПО, которое проникает на ваш компьютер, захватывает ваш браузер, вставляет рекламу и отслеживает то, что вы смотрите. И во многом это законно, потому что во время установки вас обманом заставили щелкнуть не то место.
СВЯЗАННЫЕ С: Download.com и другие объединяют рекламное ПО в стиле HTTPS Superfish
И теперь сайты загрузки, поддельная реклама программного обеспечения в поисковых системах и отрывочные приложения объединяют рекламное и вредоносное ПО в установщики легального программного обеспечения. Вы не можете просто думать, что вы в безопасности, потому что работаете с OS X. Вам нужно быть осторожным, что вы загружаете и на что нажимаете.
Если вы не думаете, что это имеет большое значение, подумайте еще раз. Эти рекламные программы вставляются непосредственно в браузер, они анализируют и запускают даже на защищенных сайтах, таких как ваш банк, сайт кредитных карт и электронная почта, отправляя данные обратно на свои серверы. Они не используют прокси для перехвата HTTPS пока нет, исходя из того, что мы можем сказать в ходе нашего исследования, но это только вопрос времени, и они, возможно, уже делают это, а мы еще не нашли доказательства.
Поскольку мы, в первую очередь, являемся пользователями Mac здесь, в How-To Geek, мы действительно надеемся, что Apple применит к решению этой проблемы другую тактику, чем Microsoft с Windows, и не позволит этим мошенникам уничтожить их платформу.
Комплектное Crapware для OS X становится хуже с каждым днем
Не так давно вы могли установить почти что угодно для OS X практически с любого веб-сайта, и вам действительно не нужно было беспокоиться о том, на что вы нажимаете. Это уже не так, и, хотя в Windows все лучше, чем в Windows, на данный момент это только вопрос времени.
СВЯЗАННЫЕ С: Вот что происходит, когда вы устанавливаете 10 лучших приложений Download.com
У вас по-прежнему есть безопасный источник программного обеспечения в Mac App Store, но проблема в том, что не все поставщики продают свое программное обеспечение через App Store, и многие из них продают там старые версии и имеют последнюю версию на своем собственном веб-сайте. Если вы все же придерживаетесь App Store, вам не о чем беспокоиться. Нам бы очень хотелось, чтобы Apple исправила некоторые проблемы в App Store и заставила всех использовать его.
Как и в Windows, вы не нужно искать дальше, чем CNET Downloads найти в комплекте ненужное ПО… даже для Mac. Правильно, они перешли на кроссплатформенность с этой ерундой. И они усугубили ситуацию, потому что у вас либо есть кнопка «Установить», либо кнопка «Закрыть». Больше нет даже упадка! При нажатии кнопки «Закрыть» программа установки полностью закрывается. Значит, у вас либо установлено вредоносное ПО, которое захватывает ваш браузер, либо вы не можете установить это приложение.
Тот, что на скриншоте, устанавливает Spigot и кучу другой ерунды, которая перенаправляет ваш браузер на Yahoo, устанавливает кучу нежелательных плагинов и, как правило, заставляет летающего монстра спагетти плакать. Удивительно, сколько денег Yahoo должен вкладывать в эти вещи, чтобы захватить ваш браузер в своей поисковой системе ... когда это даже не их. Yahoo Search - это просто обновленная версия Bing. Ну что ж.
Боже мой! На следующем экране установщик наконец позволяет вам снова отклонить что-то! Может быть, изображение на скриншоте настолько плохое, что CNET Downloads не хочет навязывать его вам. Плохой знак.
Конечно, объединение выполняется не только через CNET Downloads - мы обнаружили ряд других приложений, распространяемых на сайтах бесплатных загрузок, которые объединяют свои собственные пакеты. Например, с начала года, загружает рекламное ПО для перехвата HTTPS для Windows есть версия для Mac. И еще они в комплекте Spigot. Хотите что-нибудь торрент? Почему бы вам не скачать uTorrent с их сайта? Похоже, людям это нравится. Оххх.
Проблема становится намного, намного хуже, когда вы пытаетесь искать бесплатное ПО с помощью любимой поисковой системы. Здесь стоит отметить, что Google только недавно начал попытки запретить связанное вредоносное ПО исходя из их результатов и рекламы, но, к сожалению, Yahoo и Bing не имеют такого же уровня качества. На самом деле они просто ужасны.
Если вы средний, обычный пользователь и ищете в Yahoo «vlc download», вам будет представлено то, что похоже на следующий снимок экрана. И каждая отдельная вещь на странице на самом деле является ссылкой на комплектный установщик вредоносного ПО для VLC, и почти все они кроссплатформенные и работают на OS X. И текст с надписью «реклама» почти не виден.
Когда ничего не подозревающий пользователь попытается использовать один из этих установщиков, ему будет представлен экран, похожий на этот ... который устанавливает ужас InstallMac, который захватывает все и помещает рекламное ПО в вашу систему - это ужасно. И, конечно же, следующий экран пытается заставить вас установить что-то еще, что вам не нужно. А потом еще кое-что. Это так много чуши.
Мы обнаружили намного больше программного обеспечения, которое обслуживается таким образом, с тоннами установщиков почти от каждой компании, занимающейся установкой программных пакетов. Вот оболочка для установки OpenOffice в комплекте с паршивой рекламной программой, которая просто захватывает ваш браузер. Да, мы снова искали в Yahoo OpenOffice и нажимали на то, что мы действительно считали настоящим сайтом, потому что их «рекламный» текст был настолько маленьким, что мы не могли заметить разницы. И вот что пришло в голову.
Это может стать эпидемией для пользователей Mac. Так чего же нам ждать?
Рекламное и вредоносное ПО в OS X почти так же ужасно, как и в Windows
Когда вам все-таки удается заразиться чем-то, большая часть рекламного, вредоносного и шпионского ПО в OS X будет пытаться каким-то образом заразить ваш браузер, захватывая вашу новую вкладку, поисковые и домашние страницы, вставляя рекламу на страницы и случайным образом всплывающие неприятные предупреждения службы поддержки. По большей части это не очистит ваш жесткий диск или что-то действительно ужасное ... но, судя по возрастающей сложности, которую мы наблюдаем, это только вопрос времени.
Многие из этих угонщиков браузера будут вставлять рекламу, в которой появляются всплывающие сообщения, которые нельзя отклонить, что бы вы ни делали, как вы можете видеть на скриншоте выше. И они будут случайным образом появляться все время, пока вы просматриваете страницы, и вам нужно нажать CMD + Q, чтобы полностью закрыть приложение, чтобы избавиться от них. По сути, ваш браузер становится совершенно бесполезным.
Самое простое рекламное ПО установится в ваш браузер как расширение и сбросит все ваши страницы, чтобы они прошли через их ужасную, ужасную поисковую систему. Под этим мы в основном подразумеваем Yahoo ... но есть масса других, таких как searchmoose, search-quick и searchbenny, которые используют свои собственные поддельные поисковые системы. Некоторые из них перенаправят вас на Bing, но никогда напрямую. Это всегда через посредника, такого как Trovi.
Большая часть внедряемой рекламы будет пытаться обманом заставить вас установить еще больше объявлений с использованием поддельных сообщений плагина Java или сообщений, предлагающих установить кодек или новую версию Flash. Все это, конечно же, подделка и просто установит на ваш компьютер еще больше вредоносных программ. Время от времени кто-то из них будет пытаться запустить рекламное ПО для Windows, но по большей части они достаточно умны, чтобы знать, что вы пользователь Mac, и предлагать нужное вредоносное ПО.
Многие рекламные программы перенаправляют вашу поисковую систему на поддельную поисковую систему, которая очень похожа на Google или Bing, но все результаты - не что иное, как реклама.
И тогда он случайно заговорит с вами. Буквально. Он воспроизводит аудиорекламу через ваши динамики. Мы слышали рекламу Northrup Grumman. Насколько это безумно? (Мы совершенно уверены, что они об этом не знают.)
Мы только что продемонстрировали некоторую надоедливую рекламную программу, но большая часть связанного вредоносного ПО тоже довольно паршивая штука, и почти все отдельные сборщики вредоносного ПО, которые мы нашли, и почти все рекламные объявления пытались заставить нас установить MacKeeper. Мы мало что знаем об этом, хотя планируем изучить, как это работает, потому что эта тактика сомнительна.
Самая большая тенденция, которую мы заметили в рекламном ПО, заключается в том, что почти все оно пытается перенаправить ваш браузер и поисковую систему на Yahoo. Кого-то в Yahoo нужно уволить.
Копаем глубже: как на самом деле работают некоторые из этих вредоносных программ
Простое рекламное ПО работает так же, как и большинство рекламных программ, устанавливая себя в расширения Safari, которые довольно легко удалить. Проблема в том, что в нашем исследовании только несколько рекламных программ работали таким образом.
Взлом поисковой системы, перенаправление домашней страницы и расширения, вводящие рекламу, - это одно. Более серьезная проблема - это серьезное вредоносное ПО, которое внедряется глубоко в операционную систему, и обычный человек никогда не сможет его удалить. Нет ни деинсталлятора, ни элемента автозагрузки, ни плагинов в вашем браузере, ни расширений, ни чего-либо еще, что кажется установленным.
Однако есть действительно ужасная реклама, которая вставляется во все, что вы делаете, делая ваш компьютер медленнее, чем грязь. Ваша поисковая система будет взломана, и возможно, что ваш браузер будет перенаправлен через прокси-сервер. Это явное вредоносное ПО, это больше не просто рекламное ПО, даже если вы случайно забыли снять где-нибудь флажок. Он работает так же, как и Вредоносные программы Trovi работают в Windows , внедряясь в процессы.
Эти более серьезные вредоносные программы устанавливаются как демон или служба, работающая в фоновом режиме и за кулисами. Вы можете найти эти вещи в папке / Library / LaunchAgents или / Library / LaunchDaemons, где будут некоторые действительно странно выглядящие элементы, которым просто не место. Эта папка также может быть использована для реальных вещей из реальных приложений, так что не очищайте эту папку полностью или что-то еще.
Изучение файла plist покажет вам, где на самом деле находится вредоносное ПО, которое обычно находится в совершенно отдельной папке.
Когда вы войдете в эту папку и изучите файл Version.plist, вы получите дополнительную информацию о том, что на самом деле происходит. Эта штука называется Search-Quick и по какой-то причине поддерживает угон Chrome и Safari, а также ночную сборку Webkit.
Дальнейшее изучение обнаруживает кое-что любопытное ... человек, который написал эту вредоносную программу, хотел выразить особую благодарность своей маме.
После того, как вредоносная программа запускается OS X в качестве демона, она затем использует малоизвестную функциональность OS X, которая позволяет одному процессу внедряться в другой процесс. Вы можете увидеть, как это работает, открыв терминал и напрямую запустив исполняемый файл агента. На самом деле он прикрепляется к вашему браузеру и загружается как скрытое расширение. На скриншоте ниже вы можете видеть, что он активирован для процесса с идентификатором 544, которым был Google Chrome. То же самое произойдет с Safari, если он открыт.
Это означает, что запущено рекламное ПО или вредоносное ПО. внутри вашего веб-браузера, внедряясь на каждую страницу, которую вы посещаете. Не имеет значения, посещаете ли вы защищенный банковский сайт или нет, они уже внутри. Одним из побочных эффектов этого вредоносного ПО является то, что весь ваш компьютер будет постоянно работать очень медленно, независимо от того, что вы делаете.
Чтобы получить несколько советов по удалению рекламного и вредоносного ПО в OS X, вы можете прочтите документ поддержки Apple , или просто дождитесь наших следующих статей по этой теме. Мы будем проводить больше исследований по всем этим вопросам.
Что все это значит и как защитить себя?
Несмотря на то, что мы показали, что вредоносное, рекламное, вредоносное и шпионское ПО в OS X становится все хуже, это не означает, что вам обязательно нужно беспокоиться или идти и устанавливать Linux, или делать что-то радикальное. OS X по-прежнему не так сильно нацелен, как Windows, и все еще существуют некоторые меры безопасности, которые затрудняют проникновение вредоносных программ.
Самое безопасное, что вы можете сделать, - это использовать Mac App Store для установки ваших приложений, когда это возможно. Эти приложения были проверены Apple и должны подходить для использования, и определенно не будут поставляться с каким-либо вредоносным или рекламным ПО в комплекте.
Ограничение приложений, которых нет в App Store
Это не решит проблему полностью, но вы можете настроить OS X для автоматического ограничения любых исполняемых файлов, которые не поступают из App Store. Это не относится к приложениям, уже установленным на вашем компьютере, независимо от того, откуда они. Это будет просто применяться к новым загрузкам.
Перейдите в Системные настройки -> Безопасность и конфиденциальность, щелкните значок замка внизу, а затем переверните настройку в Mac App Store вместо значения по умолчанию.
Как только вы это сделаете, при попытке запустить что-либо, чего нет в App Store, автоматически появится сообщение о блокировке. Вы можете по-прежнему открывать его, если щелкните правой кнопкой мыши и выберите «Открыть», а затем снова выберите «Открыть», но по умолчанию все заблокировано.
Это не решает проблему приложений, которые вы делать хотите установить вместе с программным обеспечением, которое по умолчанию требует отключения. Но это отличная обстановка безопасности для ваших близких.
Когда вам все же нужно установить приложение из другого места, убедитесь, что это действительно надежный источник, а не поддельный сайт, на котором размещается бесплатное ПО с открытым исходным кодом с пакетной оболочкой.
СВЯЗАННЫЕ С: Oracle не может защитить подключаемый модуль Java, почему он все еще включен по умолчанию?
Вам также следует подумать об отключении плагинов вашего браузера - для Chrome и Firefox, это довольно просто , для Safari это немного сложнее . Самое большое, что вы можете сделать, это отключите ваш плагин Java , потому что вам это довольно редко и потому что На Java в 2013 году пришлось 91% атак . Это снизит вероятность быть целью атаки нулевого дня .
Возможно, пора даже подумать об антивирусе для OS X, по крайней мере, если вы хотите устанавливать много программного обеспечения из источников за пределами App Store. Если вы этого не сделаете, это, вероятно, не так уж важно, но мы приближаемся к тому моменту, когда это будет необходимо. Что мы еще не совсем уверены, так это то, какой антивирус для Mac вообще стоит того и блокирует такие вещи - в Windows большинство антивирусов вообще не блокирует связанное вредоносное ПО и рекламное ПО, потому что они законны, поскольку вы должны были согласовать установить процесс. Так что не платите прямо сейчас за антивирус. Просто имейте это в виду на будущее.
В остальном, будьте осторожны при нажатии на кнопку и не доверяйте сообщениям об ошибках, которые появляются в окне браузера. Если вы видите что-то, что говорит о том, что ваш компьютер заражен, и появляется сообщение, удерживайте комбинацию клавиш CMD + Q, чтобы немедленно закрыть все.
Сейчас самое лучшее время для пользователей Windows переключиться на Mac. С таким большим количеством вредоносного и рекламного ПО они будут чувствовать себя как дома! (Мы, конечно, шутим.)
