Kategorie Archiwum

Malware OSX/Proton powrócił

Pamiętacie majową wpadkę z kompromitacją serwera z popularnym programem do kodowania wideo Handbrake? Przez kilka dni pobierając Handbreake, dostawało się „gratis” złośliwe oprogramowanie zwane OSX/Proton.

Tym razem padło na Eltimę i jej Elmedia Player

Jak podaje Intego.com kompromitacja serwera (przejęcie i podmienienie pliku z instalacyjną wersją programu) została odkryta 19 października. Tego samego dnia o godzinie 9.15 naszego czasu złośliwy plik został usunięty. Niestety nie wiadomo jak długo serwer był skompromitowany i ile kopii Elmedia Playera zawierającego złośliwy kod zostało poranych. Przypomnijcie sobie, czy czasem nie pobieraliście tego programu przed 20 października.

Jak działa OSX/Proton

Po skopiowaniu Elmedia Playera do teczki Aplikacje i pierwszym jego uruchomieniu pojawia się monit instalatora (malwaru, nie playera) z prośbą o podanie hasła administratora. Wygląda to tak, jak często przy instalacji nowego oprogramowania. To wystarczy, aby OSX/Proton zagnieździł się w systemie. Złośliwy program potrafi wykonywać wiele poleceń przesyłanych z serwera sterującego, jak kopiowanie plików, pobieranie i uruchamianie oprogramowania, wysyłanie plików i danych na serwer sterujący. Potrafi też przeszukiwać dysk w poszukiwaniu danych z przeglądarek, programów obsługujących kryptowaluty, SSH, iPassword i wielu innych.
Apple już unieważnił certyfika, jakiego użyto do podpisania złośliwego kodu: Developer ID Application: Clifton Grimm (9H35WM5TA5)
Zarażenie OSX/Protonem można wykryć po istnieniu w systemie plików:
/Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
/Library/.rand/updateragent.app
i sprawdzając w Monitorze aktywności, działanie procesu „updateragent”.

Jak się pozbyć złośliwego i niebezpiecznego gościa

Na początek kasujemy z teczki Aplikacje Elmedia Player, potem z biblioteki: Library/LaunchAgents/com.Eltima.UpdaterAgent.plist
Następnie, gdy mamy macOS 10.12 lub 10.13 to wciskamy Command+Shift+kropka, aby zobaczyć niewidoczne pliki. Zaglądamy do biblioteki użytkownika i biblioteki głównej i kasujemy, jeżeli są:
tmp/Updater.app
Library/.rand/updateragent.app (kasujemy ten program)
Librar/.rand (kasujemy tcałą teczkę)
Więcej o działaniu tego złośliwego oprogramowania, kompromitacji serwera oraz sposobów jego usunięcia możecie znaleźć u źródła: Intego.com.
Bądźcie ostrożni!

Jaromir Kopp

Użytkownik komputerów Apple od 1991 roku. Dziennikarz technologiczny, programista i deweloper HomeKit. Propagator przyjaznej i dostępnej technologii. Lubi programować w Swift i czystym C. Tworzy rozwiązania FileMaker. Prowadzi zajęcia z IT i programowania dla dzieci oraz młodzieży, szkoli też seniorów. Współautor serii książek o macOS wydanych przez ProstePoradniki.pl. Projektuje, programuje oraz samodzielnie wykonuje prototypy urządzeń Smart Home. Jeździ rowerem.

Ostatnie wpisy

Router Synology RT6600ax. Potężny zarządca sieci

Markę Synology kojarzycie zapewne z urządzeniami NAS. Te świetne dyski sieciowe dają możliwość przechowywania bezpiecznie…

2 lata temu

Sonos ogłasza partnerstwo z Apple i pokazuje dwa głośniki

Na rynek wchodzą dwa nowe głośniki marki Sonos: Era 100 i Era 300. Model Era…

2 lata temu

Sejf Smart Safe współpracuje z HomeKit

Akcesoriów, które możemy dodać do naszego inteligentnego domu jest coraz więcej. Do tego zacnego grona…

2 lata temu

FileMaker Cloud w Polsce

Wiecie, że jedna z najlepszych baz danych - FileMaker (obecnie zmieniana jest nazwa na Claris),…

2 lata temu

Ivory zamiast Tweetbot’a. Mastodon lepszy od Twittera?

Elon Musk wszedł na Twittera i zrobił rewolucje. Ostateczną ocenę jego poczynań w tym serwisie…

2 lata temu

Najważniejsza funkcja nowego HomePod’a

Ten produkt miał już nie istnieć. Kiedy pojawiły się informację, że Apple nie przedłuży życia „dużego”…

2 lata temu

Serwis wykorzystuje pliki cookies. Korzystając ze strony wyrażasz zgodę na wykorzystywanie plików cookies.