Mactörtént: A 15 legkellemetlenebb Maces vírus

Skarp 2014.03.05. 18:07 Apple, Mac 9 hozzászólás 5 736

A számítástechnikában kevésbé jártasak között gyakran előkerülő közhely, hogy Macre nincsenek vírusok. Persze aki pár hétnél tovább is használt OS X-et vagy bármilyen Apple OS-t futtató rendszert, pontosan tudja, hogy bár a piaci részesedés miatt kevesen adják fejüket Maces vírusok írására, a “műfaj” azért létezik. Összeállításunkban tizenötöt szedtünk össze a legkellemetlenebb vírusokból, férgekből, trójaikból, mindezt az utolsó bő harminc éves periódusból.

1982 – Elk Cloner

Ez volt a legelső Macre írt vírus, az akkor mindössze 15 éves Rich Skrenta “munkája”. Floppylemezeken terjedt, még a HDD korszak beköszönte előtt, Apple II gépek ezreit fertőzte meg, de nem okozott túl nagy kárt, egyszerűen csak egy versikét jelenített meg a képernyőn:

It will get on all your disks
It will infiltrate your chips
Yes, it’s Cloner!

It will stick to you like glue
It will modify RAM too

Send in the Cloner!

Az Apple DOS 3.3-as verziója volt az érintett. Egy játékkal terjedt, aminek ötvenedik indításakor ahelyett a vírus kezdett futni. Ha fertőzött lemezről bootoltak a felhasználók, a gép RAM-jába is be tudott férkőzni. Ha tiszta lemez került a gépbe, a teljes DOS és persze vele együtt az Elk Cloner is a lemezre került, így tudott hihetetlenül hatékonyan terjedni. Ez volt az egyik első, ún. boot sector vírus.

1994 – INIT-29-B

Ez az igazán kellemetlen féreg a rendszerfájlokat módosítgatta saját szalállára, nem ritkán teljes rendszerösszeomlást okozva. A verziója már 1988-ban megjelent, az igazi pusztítást az extrém gyorsan terjedő INIT-29B okozta. Bár a dokumentumfájlokat is meg tudta fertőzni, terjedni csak rendszerfájlokkal volt képes.

1995 – HC-9507

Az Apple HyperCard programozási környezet stackjeit fertőző vírus rendszerállományok vagy alkalmazások fertőzésére alkalmatlan volt, viszont bármilyen Macintosh gép hordozhatta. Attól függően, hogy a hét melyik napján jártunk, a HC-9507 különböző furcsaságokat művelt a rendszerrel. Bizonyos napokon a kijelzővel szórakozott, máskor a “pickle” (uborka) szót írta be automatikusan az éppen aktív szövegmezőbe, ha pedig olyan napja volt akkor kikapcsolta vagy lezárta a számítógépet.

1998 – Hong Kong

A csak “Hong Kong vírusként” elhíresült AutoStart 9805 a QuickTime AutoPlay funkcióját használta PowerPC-k megfertőzésére és partícióról partícióra másolta magát. A Motorola-processzoros gépeket nem érintette, de gyakorlatilag bármilyen úton képes volt terjedni. A Quicktime 2.0-ás vagy későbbi verzióját futtató gépeken fertőző féreg a bekapcsolva hagyott CD-ROM AutoPlay funkciót kihasználva jut be a rendszerbe és a fertőzés után az Extensions mappába másolta és ártalmatlan háttéralkalmazásnak álcázta magát. Újraindítja a gépet és onnantól félóránként ellenőrzi a lemezmeghajtókat és ha tisztát talál, rámásolja magát. Fájlokat írt felül és fölöslegesen terhelte a rendszert.

2001 – Melissa.X

Az eredetileg nem ártó szándékúnak szánt Melissa (másik nevén Mailissa) egy magát emailben tömegesen továbbító makróvírus volt. Windowsos gépekről küldözgette magát email kliensekkel és több verziója is komoly leállásokat okozott világszerte, mert forgalmazásával teljesen túlterhelte a levelezőszervereket. Egyik utolsó verziója, a Melissa.X Macintosh gépekről került vissza a PC-s világba: az X Macen formázott szöveges dokumentumnak álcázta magát.

2004 – SH/Renepo

Ez a csodálatos shell script féreg a Mac OS X platformot érintette. Futtatva bemásolja magát a helyi startup mappába, majd elkezdi magát sokszorosítani a lemezeken, meg a helyi hálózaton terjedve. Ráadásul a StartupItems mappákat bárki számára írhatóvá teszi, így veszélyes backdoor jön létre minden fertőzött rendszeren. Szerencse a szerencsétlenségben, hogy root hozzáférésre van szüksége a károkozáshoz. Ha azonban ezt megkapja, a teljesség igénye nélkül az alábbiakat végzi el:

  • kikapcsolja a system loggingot és a tűzfalat
  • kilövi az auto-updatet és bizonyos Maces biztonsági szoftvereket
  • bekapcsolja az SSH-t és a fájlmegosztást, illetve kulcsfontosságú rendszerfájlokat tesz bárki által írhatóvá
  • teletosszantja a rendszert nem kívánt programokkal.
  • alkalmazás-, felhasználói és rendszeradatokat gyűjt
  • saját adminjúzert csinál magának.

2006 – OSX/Leap-A

Az OSX.Oomp néven is ismert trójai féreg az iChatet használta terjedésre. A kontaktlistán levőknek a latestfiles.tgz fájlt elküldve, azt az akkoriban várt 10.5 Leopard kiszivárgott  screenshotjainak kikiáltva használta ki a felhasználók hiszékenységét. Nagyon hülyének kellett lenni az elkapásához, ugyanis a csak helyi hálón terjedni képes Leap-A futtatásához az állományt ki kellett csomagolni és el kellett indítani a benne levő, álcázott, futtatható fájlt. Ha nem adminfelhasználók voltunk, még az adminjelszót is elkérte – ennek ellenére is volt olyan, aki beszívta ezt a férget is. Bár nem töröl adatokat, nem kémkedik a rendszerben, nem is veszi át az irányítást, egy bug miatt a fertőzött alkalmazások gyakran nem indultak el – ezzel a Leap terjedését is akadályozva. Mivel rendszeralkalmazások megfertőzésére nem volt képes, az OS-t nem kellet újratelepíteni, elég volt törölni a fertőzőtt állományokat és frissíteni a fertőzött third-party programokat.

2006 – OSX.Macarena

Egy ún. proof of concept vírus volt, aminek célja az volt, hogy bebizonyítsa, hogy lehetséges olyan kártevőt írni, ami az éppen megnyitott mappában levő fájlok módosítására képes.

2008 – AppleScript.THT

A Mac OS X 10.4-et és 10.5-öt futtató gépeket fenyegető trójai leginkább az iChaten és a LimeWireön terjedt (ó, azok a fájlcserélős évek). A Remote Desktop Agent exploitját kihasználva nyitott hozzáférést az ártó célú személy számára, aki rendszer és felhasználói jelszavakhoz férhetett így hozzá. Ráadásul észrevehetetlenül, mivel a féreg kilőtte a system loggingot és csendben portokat nyitott magának a tűzfalon. A billentyűzet leütéseit is tudta logolni, észrevétlenül készített screenshotokat vagy képeket a gép iSight kamerájával, plusz a biztonság kedvéért a fájlmegosztást is belőtte.

2008 – OSX.RSPlug.D

Ez a DNSChanger típusú trójai többféle verzióban is  körbefutott a Mac rendszereken, legelső kiadását már 2007-ben észlelték. Ez a nyalánkság leginkább úgy terjedt, hogy pornóoldalakon a videók lejátszásához szükséges kodeknek álcázta magát, telepítésével pedig módosította a rendszer DNS beállításait, pornográf és adathalász oldalakra átirányítva  a felhasználót majdnem bármilyen URL-t beírva. Létezett Wines verziója is, ám a legtöbb variáns a Maces júzerek életét keserítette meg. A készítők iszonyatos pénzeket, dollármilliókat kaszáltak a reklámokon.

2008 – OSX.MacSweeper

Hiszékeny emberekre építő kamualkalmazás, scareware, ami eltúlzott spyware és vírusveszélyre hivatkozva javasolja a felhasználónak a telepítését, majd a rendszert kamuszkennelve rendszeralkalmazásokat bélyegez fertőzöttnek. Mikor a user törölni próbálja a nem is létező kártevőket, a program közli vele, hogy a trial verzióval ez nem lehetséges, de 40 dollárért öröklicenszet kaphatunk a programhoz. Ugyanez a bagázs készítette a Windowsos rendszerekre kihozott majdnem teljesen azonos kinézetű és “funkciójú” programot, a Cleanatort is.

2009 – OSX.Iservice alias iBotnet

Az iWork ’09 és a CS4-es Photoshop kalózverzióival terjedő Iservice.A és Iservice.B trójaik a jelszavak eltulajdonításával és backdoorok nyitásával tettek kísérletet az iBotnet zombihálózat létrehozására. Az első zombi Macek híre 2009-ben söpört végig a szaksajtón, a távirányítható kártevőket azonban azelőtt elcsípték, hogy komoly botnetet tudtak volna kiépíteni, hogy aztán DoS támadásokra és egyéb káros vagy illegális célokra használhassák a megszerzett gépeket.

2010 – OSX/HellRTS

A D-verzióját már 2004-ben felfedezték, de 2010 közepén újra elkezdett terjedni, ráadásul utolsó iterációja képes volt a PowerPC-s és Inteles Macek fertőzésére egyaránt. Fertőzés után backdoort nyit a hackereknek ezzel hozzáférést biztosítva a fertőzött géphez. Önmaga sokszorosításán kívül képes volt magát átnevezve valóban feltelepített, legitim programnak álcázni magát.

2011 – OSX/MacDefender

A leginkább MacDefenderként elterjedt scareware kamu vírusszoftver kicsit olyan, mint Pom-Pom, mindenki máshogy ismeri. Létezett Mac Protector, Mac Security, Mac Guard, Mac Shield, FakeMacDef néven is. Első verziói 2011 májusában jelentek meg, de a mai napig is igen könnyen rábukkanhatunk az Interneten. A recept a klasszikus MacSweeperével azonos. A legjellemzőbben képkereséseknél felugró popup formájában találkozhattunk vele. A felugró ablak közli, hogy vírusokat talált a gépen és szoftver telepítését javasolja, amely installálása után személyes információkat továbbít a felhasználóról harmadik feleknek. A licenszdíj itt már 60 és 80 dollár körüli, és itt már a DNS beállításokba is beletúrkál a program. Olyan sebességgel terjedt a hülyeség szárnyán, hogy 2011 májusának végére az AppleCare vonalaira nagyjából 60 ezer MacDefenderrel kapcsolatos hívás érkezett be, ahol a dolgozókat letiltották a telefonos segítségnyújtásról, mondván a júzerek ne szokják meg, hogy vírusfertőzéssel a supporthoz fordulnak, inkább használjanak vírusírtót. Az Apple hamarosan frissítést adott ki, ami nem csak törölte a MacDefendert és hasonszőrű társait, de folyamatosan frissülő malware adatbázissal rendelkező védelmet is tartalmazott.

2012 – OSX/Flashback

Bár már 2011 őszén felfedezték, az igazi pusztítást 2012-ben végezte. Backdoor.Flashback.39 nevű verziója egyedül több, mint 600 ezer Mac gépet fertőzött meg, botnetet kialakítva. A slusszpoén az volt, hogy ebből több, mint 250 Cupertinóban, az Apple főhadiszállásán volt. A trójai a Maces Java sebezhetőségét kihasználva jutott be a gépre, a helyzetet pedig tovább súlyosbította, hogy az Oracle egészen áprilisig várt a hibajavítás kiadásával, addigra pedig már rengeteg gép fertőződött meg. Ráadáasul a hibajavítás csak a Liont és Snow Leopardot futtató gépekre jelent meg, illetve az eltávolító alkalmazás ezen felül még a Leopardra is. Az ennél régebbi verziókat futtató felhasználókat a Java kikapcsolására bátorították. Hatására jellemző, hogy a hírek szerint jelenleg is még mindig 22 ezer gép fertőzött a Flashbackkel.

Tetszett a bejegyzés? Lájkold, csiripeld, oszd meg!

A szerző

9 hozzászólás

  1. Picasa1988 - 2014.03.05. 19:16

    Gratulálok!

    Érdekes, tartalmas cikk volt, amit jó végigolvasni! Azt hiszem mindenki nevében mondhatom, hogy több ilyet szeretnénk! :)

    Köszönet! Csak így tovább!

  2. James - 2014.03.05. 19:41

    Nem szeretném végigolvasni más OP-rendszer vírusait, mert több cikk kellene hozzá, hogy legalább felszinesen órákig olvasva homályosan sejtsük mennyi vírus is van.

  3. Fodor Jani - 2014.03.05. 21:13

    Tud valaki jó, működő vírusirtót ajánlani?

  4. Arabka - 2014.03.05. 21:23

    Sziasztok!
    Akkor kell vírusírtó vagy nem? Mert nekem rengeteg ember azt mondta ne tegyek fel semmit úgysem lesz vírusos!! Ha kell akkor melyiket? Sokat mozizok az onlinefilmek.cc- n ott mindig a mackeeper ugrál fel. Érdemes azt letölteni 90$ért??

    • Skarp - 2014.03.05. 22:18

      minimális józan paraszti ésszel és szövegértelmezési képességgel szerintem nincsen szükség Macen vírusírtóra. (én egyébként Windowson se használok évek óta)

      a MacKeeperre meg főleg nem, mivel az is csak egy a számtalan MacDefender-klón közül, amivel csak ártasz a gépednek és még le is nyúltak 90 dollárral.

  5. G - 2014.03.05. 21:28

    Egyszeruen patent ez a cikk is! Kosziiii

  6. Zalán - 2014.03.05. 23:54

    Sztem is nagyszerű írás…Gratula!:)

  7. Vadász Erika - 2014.03.06. 11:18

    Jó, igen, csak hiányzik a “csattanó”, a megoldás. Vagyis napjainkban mi a helyzet, és javasolnak-e vírusirtót a Macre.

    • Skarp - 2014.03.06. 14:39

      majd a folytatásban :)

Szólj hozzá Te is!