Един истински фалшив кодек за Mac OS, разпространяващ вирус

Наскоро във Facebook страницата си видяхме пост, според който ако използваш Linux нямаш нужда от антивирусна програма. Сигурни сме, че не малка част от вас вярват, че същото важи и за Mac OS - широко разпространеният мит е, че ако използваш компютър на Apple, нямаш проблеми с вирусите. Е, не е точно така. Дори обратното. Поредният пример за това е Adware.Yontoo, който използва доверчивостта на потребителите и ги прилъгва да свалят "кодек", с който да гледат обещаващ трейлър на филм, качен на специален сайт. Отивайки на съответния сайт, потребителят вижда следното:

В последствие, потребителят бива пренасочен към сайт, от който може да свали "кодека". При това само с един клик:

НЕ ГО ПРАВЕТЕ! Въпреки че има някои съмнителни елементи в самата страница на "кодека" - като например, съвместимостта му с Windows 8/7/Vista/XP, а не с Mac OS, сайтът изглежда легитимен. Поради което много потребители се прилъгват и кликат на линка за сваляне или на големи син бутон "Install codec pack". Резултатът обаче е инсталиране на плъгин, наречен "Yontoo", който ще се инсталира на всички налични на заразения компютър браузъри за Mac OS като Safari, Chrome и Firefox.

Ако захапете тази въдица, ще започнете да виждате огромно количество нежелани реклами, инжектирани в иначе легитимни сайтове.

Освен чрез кодек, Yontoo се разпространява и чрез фалшиви медийни плейъри. Идеята е, че престъпниците използват този плъгин, мамейки рекламодателите и пренасочвайки потребителите към сайтове, които си плащат за генериране на трафик.

Защита и дезинфекция

Ако използвате ESET за защита на Mac-а си, продуктите ни ще блокират инсталацията на вируса и ще спрат инфекцията. Решенията ни за защита блокират заплахата на работещи с Windows машини, засичайки вируса OSX/Adware.Yontoo и Win32/Adware.Yontoo, съответно за Mac OS и Windows.

Ако все пак видите нежелание реклами и мислите, че най-вероятно сте се заразили с вируса, проверете инсталираните в браузъра си плъгини. Ето как става това в Safari:

Може да използвате този списък, за да намерите името на файла или на всички плъгини за всички браузъри. Например, Amazon MP3 Downloader, използван в Google Chrome на този Mac е плъгинът AmazonMP3DownloaderPlugin.plugin. Ако този файл бъде изтрит от менюто Library > Internet Plug-ins, той ще бъде деактивиран за всички браузъри. В случая, търсете файловете Yontoo.safariextz, YontooFFClient.xpi и YontooLayers.crx.

По-рано тази седмица Apple осъвремени дефинициите за вируси на XProtect, за да предпази потребителите от Yontoo (наречен "OSX.AdPlugin.i").

Какво означава този Mac вирус?

Техника на зараза, използвана успешно сред Windows потребителите, сега се обръща и срещу тези, използващи Mac. Защо? Пазарна икономика. И докато не можем да предскажем бъдещето, можем да предскажем какви ще са резултатите от едно елементарно изчисление. Ако има начин за правене на пари от атаки срещу Mac OS X, може да сте сигурни, че някой ще се възползва от това. С малки изключения, огромна част от зловредните кодове, които пълзят из интернет днес, се създават след внимателен анализ на риска и възравращаемост на инвестицията. С други думи, повечето вируси изобщо не виждат бял свят освен ако някой не счита, че в тях има потенциал за правене на пари и незначителни рискове от арест.

Ето как действа един киберпрестъпник днес: представете си, че сте такъв. Търсите инвестиция за скам атака. Отивате при големия лош шеф, като във филмите за мафията. Казвате, че цената за адаптиране на доказано работеща атака срещу потребители на Windows за друга операционна система е относително ниска. Той дава своята благословия за проба. След няколко дни се връщате със статистически анализ, показващ, че потребителите на алтернативната платформа, в случая Mac OS X, се хващат на въдицата и съответно - генерират приходи. Големият шеф дава зелена светлина за мащабна атака.

Не ви трябва кой знае какво голямо въображение за да видите как този сценарий се повтаря многократно в бъдещето.