Hubo una pregunta sobre eliminar el malware Flashback de tu máquina OS X, pero aún no tengo claro qué hace. ¿Qué hace exactamente el malware Flashback una vez instalado en tu Mac?
Respuestas
¿Demasiados anuncios?
El troyano [FlashBack] se dirige a una vulnerabilidad de Java en Mac OS X. El sistema se infectado después de que el usuario es redirigido a un sitio falso comprometido, donde el código JavaScript hace que se cargue un applet que contiene un exploit. Se guarda un archivo ejecutable en la máquina local, que se utiliza para descargar y ejecutar el código malicioso desde una ubicación remota. El malware también cambia entre varios servidores para optimizar el equilibrio de carga. Cada bot recibe un ID único que se envía al servidor de control.. El troyano troyano, sin embargo, sólo infectará al usuario que visite la página web infectada página web infectada, lo que significa que otros usuarios en el equipo no están infectados a menos que que sus cuentas de usuario hayan sido infectadas por separado, esto se debe al sistema de seguridad de UNIX.
Para una descripción más larga y técnica, lea este artículo de F-Secure .
Oskar
Puntos
1242
Significa que alguien ha burlado la seguridad de su Mac y puede instalar nuevos programas, robar datos como contraseñas, ubicaciones de sitios web bancarios y quizás otros correos electrónicos e información personal sensible.
También significa que entonces puede instalar otro software en su Mac si se conecta a Internet para seguir haciendo actos similares de I'll repute.
Por último, podría bloquear su Mac si el programa tiene errores lógicos o no ha sido probado a fondo.
Si estás realmente interesado en este tema, aquí tienes algunos enlaces que me han parecido útiles para entender el problema. El programa en sí es claramente bastante sofisticado y tratará de instalarse como un proceso de administrador (control total) y si no puede escalar al equivalente de acceso Root, seguirá instalándose como un proceso de nivel de usuario y trabajará con sus archivos, pero no con los datos de toda la máquina.
La empresa, Intego, que fue el primero en informar sobre este exploit tiene un buen historial establecido para proporcionar informes y evaluaciones equilibradas de los riesgos del malware para Mac. En fue diseñado específicamente para agarrar contraseñas y aunque los informes de los esfuerzos de mitigación seguramente han disminuido el peso del daño, creo que es una locura asumir que todas las variantes del troyano "flashback" están completamente neutralizadas o incluso detectadas perfectamente.
Lo que siempre es preocupante es cuando un troyano ha conseguido el control de un ordenador y puede registrarse en otros ordenadores para descargar nuevas instrucciones, el cielo es el límite en cuanto a lo que se puede hacer si el programa no es detectado y la gente que lo ejecuta tiene la oportunidad de ganar dinero explotando información personal, contraseñas o simplemente dirigiendo el tráfico a sitios que reciben compensación de redes legítimas y como Google y otros.
Lectura adicional:
- http://www.macworld.com/article/1166622/symantec_flashback_malware_netted_upwards_of_10000_a_day.html
- http://www.macworld.com/article/1165534/intego_finds_new_insidious_strain_of_mac_flashback_trojan_horse.html
No quiero causar una alarma indebida, pero este programa no sólo fue atrapado dirigiendo los resultados de búsqueda para pagar los ingresos de los clics en una escala masiva, sino que también hizo un buen trabajo al intentar recoger las contraseñas de los macs que fueron comprometidos antes de que se desplegaran las contramedidas.
user22765
Puntos
21
La respuesta corta es que no hizo nada, la respuesta larga es Los servidores maliciosos no estaban "encendidos" en la fecha de la pregunta del OP. no estaban "encendidos" para empujar nada hacia la red de bots, o hacia las máquinas infectadas.
si se encienden hoy.. o cuando alguien lea esto, seguirán sin poder hacer nada, porque el número de máquinas infectadas fue exagerado en primer lugar por las "estimaciones", (que es por lo que no se "encendió", no tenía suficiente) y cualquiera que fuera el número real, ahora se ha reducido a un número tan pequeño que la eficacia de la red de bots, (que se creó para hacer un ataque de tipo de denegación de servicio) es completamente ineficaz como DNS.. por lo que hizo y hace, y no hará nada....
El malware también puede intentar robar contraseñas o inicios de sesión de usuarios... lo que la gente no te dice es que la aplicación que habría que descargar para hacer eso es extremadamente compleja, y además no se hace en realidad. (ninguno de los applets de los que se habla que se "instaló" lo hizo) (ni podría hacerlo en la realidad)
ha habido mucha información errónea sobre esto... incluyendo las "estimaciones" de infección.. hechas por una empresa de seguridad rusa... (la información errónea se hace principalmente para promocionar productos de seguridad y nombres de marcas para intentar que la gente se gaste algo de dinero algún día)
para demostrar lo "erróneas" que eran las estimaciones, otros equipos de empresas de "seguridad", que no eran rusas, semanas más tarde mostraron muchas menos infecciones, lo que no es una prueba en sí misma, lo que sí era una prueba, era que la empresa de seguridad rusa original luego salió con un nuevo número que se acercaba al número original de infecciones... demostrando que sus "estimaciones" siempre estaban equivocadas... (una segunda empresa de seguridad rusa "confirmó" sus números, pero en realidad estaban trabajando juntos)....
la segunda información errónea era que podía "infectar" tu ordenador sin que pusieras tu contraseña, esto no es correcto, podía poner un applet en un directorio de safari(u otro), sólo si le dabas tu contraseña... lo que hacía si no conseguía que escribieras una contraseña, eran otros vectores de ataque que en general no eran efectivos...
como prueba de esto... los pasos para eliminar el applet de las "firmas de seguridad" incluían comandos sudo de terminal que requieren tu contraseña, en otras palabras para eliminarlo, necesitabas una contraseña, para añadirlo también necesitabas tu contraseña... (hay excepciones a esto, como ejecutar como Root, y el número de usuarios haciendo esto en mi vecindad inmediata de 1000 millas de radio lo podría contar con una mano) (estoy exagerando, pero sólo para mostrar el punto)...
En resumen, sólo eres una víctima de la exageración... Casi todas las variantes de esto, hasta que la gente era tan consciente de ello que ya no podía infectar, eran versiones que pretendían ser una actualización de flash, o similares... (de ahí el nombre)
si no recibiste un aviso para "actualizar" tu flash con una gran caja como mensaje de instalación... y más importante fuiste más inteligente que un usuario promedio de computadora y reconociste que cada ruta de ataque de ingeniería social comienza con... "necesitas instalar una actualización" o deberías instalar una aplicación de software antivirus...
entonces ni siquiera necesitas comprobar si tienes el malware...
de hecho un poco de un hecho va un largo camino en la comprensión de este ...
más personas se infectan por la instalación de software "antivirus", que de hecho era el troyano, que por otro tipo de malware hoy en día...
y aquí hay algo más... son más los usuarios de ordenadores que han perdido datos (o tiempo de inactividad) por un software antivirus LEGÍTIMO, que los usuarios de Mac han perdido datos (o tiempo de inactividad) por un malware... porque los propios programas de software tenían fallos en los que las actualizaciones de las empresas se desviaban creyendo que algunos archivos no eran correctos... que en realidad eran archivos importantes...
aquí hay otra, ni un solo paquete de software AV detecta o son capaces de deshacerse del malware, hasta que el malware está en la naturaleza ... y usted tiene que actualizar que AV-software.... esto no es un software preventivo, es un software después del hecho ... que hace un usuario de mac poco bien ... especialmente si usted es un usuario que hace mantener en la parte superior de las cosas .. y usted sabe acerca de las cosas sobre el mismo tiempo que una actualización está disponible ...
