Pamiętacie majową wpadkę z kompromitacją serwera z popularnym programem do kodowania wideo Handbrake? Przez kilka dni pobierając Handbreake, dostawało się „gratis” złośliwe oprogramowanie zwane OSX/Proton.
Jak podaje Intego.com kompromitacja serwera (przejęcie i podmienienie pliku z instalacyjną wersją programu) została odkryta 19 października. Tego samego dnia o godzinie 9.15 naszego czasu złośliwy plik został usunięty. Niestety nie wiadomo jak długo serwer był skompromitowany i ile kopii Elmedia Playera zawierającego złośliwy kod zostało poranych. Przypomnijcie sobie, czy czasem nie pobieraliście tego programu przed 20 października.
Po skopiowaniu Elmedia Playera do teczki Aplikacje i pierwszym jego uruchomieniu pojawia się monit instalatora (malwaru, nie playera) z prośbą o podanie hasła administratora. Wygląda to tak, jak często przy instalacji nowego oprogramowania. To wystarczy, aby OSX/Proton zagnieździł się w systemie. Złośliwy program potrafi wykonywać wiele poleceń przesyłanych z serwera sterującego, jak kopiowanie plików, pobieranie i uruchamianie oprogramowania, wysyłanie plików i danych na serwer sterujący. Potrafi też przeszukiwać dysk w poszukiwaniu danych z przeglądarek, programów obsługujących kryptowaluty, SSH, iPassword i wielu innych.
Apple już unieważnił certyfika, jakiego użyto do podpisania złośliwego kodu: Developer ID Application: Clifton Grimm (9H35WM5TA5)
Zarażenie OSX/Protonem można wykryć po istnieniu w systemie plików:
/Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
/Library/.rand/updateragent.app
i sprawdzając w Monitorze aktywności, działanie procesu „updateragent”.
Na początek kasujemy z teczki Aplikacje Elmedia Player, potem z biblioteki: Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
Następnie, gdy mamy macOS 10.12 lub 10.13 to wciskamy Command+Shift+kropka, aby zobaczyć niewidoczne pliki. Zaglądamy do biblioteki użytkownika i biblioteki głównej i kasujemy, jeżeli są:
tmp/Updater.app
Library/.rand/updateragent.app (kasujemy ten program)
Librar/.rand (kasujemy tcałą teczkę)
Więcej o działaniu tego złośliwego oprogramowania, kompromitacji serwera oraz sposobów jego usunięcia możecie znaleźć u źródła: Intego.com.
Bądźcie ostrożni!
Markę Synology kojarzycie zapewne z urządzeniami NAS. Te świetne dyski sieciowe dają możliwość przechowywania bezpiecznie…
Na rynek wchodzą dwa nowe głośniki marki Sonos: Era 100 i Era 300. Model Era…
Akcesoriów, które możemy dodać do naszego inteligentnego domu jest coraz więcej. Do tego zacnego grona…
Wiecie, że jedna z najlepszych baz danych - FileMaker (obecnie zmieniana jest nazwa na Claris),…
Elon Musk wszedł na Twittera i zrobił rewolucje. Ostateczną ocenę jego poczynań w tym serwisie…
Ten produkt miał już nie istnieć. Kiedy pojawiły się informację, że Apple nie przedłuży życia „dużego”…
Serwis wykorzystuje pliki cookies. Korzystając ze strony wyrażasz zgodę na wykorzystywanie plików cookies.