Основным майским событием в сфере угроз информационной безопасности можно считать массовое распространение ложного антивируса, наиболее известного как MacDefender. Если лжеантивирусы для Windows стали уже привычным явлением, то для Mac OS X такие вредоносные программы — все еще в новинку, тем более в масштабе эпидемий. А вот появление руткитов, атакующих 64-битные системы Windows, уже почти не удивляет: открыв для себя в 2010 году это поле деятельности, злоумышленники продолжают совершенствоваться в расчете на быстро растущее число пользователей этих ОС. Ниже более подробно представлены эти и некоторые другие угрозы мая 2011 года.
От чего «защищает» MacDefender?
В мае мак-сообщество столкнулось с неожиданной угрозой: в зарубежных СМИ появились сообщения о фишинговой атаке с использованием вредоносной программы — ложного антивируса. Это ПО фигурирует под именами MacDefender, MacSecurity, MacProtector или MacGuard, попадая на компьютеры через неблагонадежные сайты, на которых пользователь узнаёт, что его система якобы заражена. Для устранения проблемы предлагается воспользоваться «антивирусом». В случае скачивания MacDefender, имитируя действия по поиску и обнаружению вирусов, приступает к достижению своей истинной цели — получению от пользователя денег за якобы полнофункциональную версию.
После инсталляции программа прописывается в списке автоматически загружаемых пользовательских приложений — Login Items. Таким образом, она активизируется каждый раз, когда пользователь входит в систему или включает компьютер, и периодически «находит» вредоносные объекты в системе, напоминая о необходимости их «вылечить».
Для приобретения «лицензионной версии» MacDefender злоумышленники предлагают воспользоваться кредитной картой (причем передача данных происходит на незащищенной странице). После оплаты программа перестает что-либо находить в системе, создавая иллюзию, что деньги потрачены не впустую.
MacDefender представляет угрозу для пользователей операционных систем Mac OS X 10.4–10.6. Стоит отметить, что схема взаимодействия этого ложного антивируса с серверами злоумышленников весьма схожа с аналогичными вредоносными программами для Windows. По мнению аналитиков «Доктор Веб», при его распространении используется партнерская схема.
Apple, хотя и с некоторой задержкой, признала существование этой проблемы: на сайте компании была размещена инструкция по удалению MacDefender, а также рекомендации относительно того, как избежать его попадания на компьютер, и обещание в ближайшее время выпустить обновление операционной системы, «которое будет автоматически находить и удалять вредоносное ПО MacDefender и его известные разновидности». На сегодняшний день вирусная база Dr.Web насчитывает шесть модификаций этой вредоносной программы, включая самую последнюю, снабженную «прединсталлятором», а в Dr.Web для Mac OS X уже реализовано лечение от них.
2011-06-16, 07:17:00 Connecting to host: C:\drweb_update\drwebupdate
2011-06-16, 07:17:00 drweb32.flg not found
2011-06-16, 07:17:00 drweb32.lst not found
2011-06-16, 07:17:00 Cannot download list of files to update
2011-06-16, 07:17:00 Connection interrupted
2011-06-16, 07:17:00 Disconnected
2011-06-16, 07:17:00 Connecting to host: C:\drweb_update\drwebupdate 2011-06-16, 07:17:00 drweb32.flg not found 2011-06-16, 07:17:00 drweb32.lst not found 2011-06-16, 07:17:00 Cannot download list of files to update 2011-06-16, 07:17:00 Connection interrupted 2011-06-16, 07:17:00 Disconnected
Попробуйте обновить зеркало, если проблема сохраниться, то не могли бы Вы выложить лог полностью. Так же проверьте, лежит ли это файл - drweb32.lst в зеркале.
Опа, теперь обновился... файл drweb32.lst присутствует (7 июня 2011 г), после обновления стал (15 июня 2011 г). Видать с вашим севером (209.160.24.136) что-то неладное было.
Спасибо. А как изменить в настройках чтоб обращаться именно на этот сервер? Там только "получать обновления с серверов "Доктор Веб" (рекомендуется)
1. Щелкните правой кнопкой мыши по значку антивируса в системном трее (обычно в правом нижнем углу экрана). 2. Выберете пункт "Обновления" 3. Зайдите в настройки. 4. Выберете "Использовать зеркало обновлений" и там укажите 92.46.53.252.