Hubo una pregunta sobre eliminando el malware Flashback de su máquina con OS X, pero aún no lo hago. claro en lo que hace. ¿Qué hace exactamente el malware Flashback una vez que está instalado en tu Mac?
Hubo una pregunta sobre eliminando el malware Flashback de su máquina con OS X, pero aún no lo hago. claro en lo que hace. ¿Qué hace exactamente el malware Flashback una vez que está instalado en tu Mac?
El troyano [FlashBack] apunta a una vulnerabilidad de Java en Mac OS X. El sistema es infectado después de que el usuario es redirigido a un sitio falso comprometido, donde el código JavaScript hace que se cargue un applet que contiene un exploit. Un archivo ejecutable se guarda en la máquina local, que se utiliza para descargar y ejecutar código malicioso desde una ubicación remota. El malware También cambia entre varios servidores para optimizar el balanceo de carga. Cada bot recibe una ID única que se envía al servidor de control. Sin embargo, el troyano solo infectará al usuario que visita la web infectada. página, lo que significa que otros usuarios en la computadora no están infectados a menos que sus cuentas de usuario han sido infectadas por separado, esto se debe a la Sistema de seguridad UNIX.
Para una descripción más extensa y técnica, lea este artículo de F-Secure
Significa que alguien ha pasado por alto la seguridad de tu Mac y puede instalar nuevos programas, robar datos como contraseñas, ubicaciones de sitios web bancarios y quizás otros correos electrónicos e información personales confidenciales.
También significa que luego puede instalar otro software en su Mac si se conecta a Internet para hacer actos similares de reputación.
Por último, podría bloquear tu Mac si el programa tiene errores lógicos o no se probó a fondo.
Si está realmente interesado en este tema, aquí hay algunos enlaces que he encontrado útiles para entender el problema. El programa en sí es claramente bastante sofisticado e intentará instalarse como un proceso de administración (control total) y, si no puede escalar hasta el equivalente al acceso de root, se seguirá instalando como un proceso de nivel de usuario y funcionará con sus archivos, pero No los datos de toda la máquina.
La compañía, Intego, que informó por primera vez esta vulnerabilidad tiene un buen historial establecido para proporcionar informes y evaluaciones equilibrados. de los riesgos del malware para Mac. Es fue diseñado específicamente para capturar contraseñas y aunque los informes de los esfuerzos de mitigación seguramente han disminuido la peor parte del daño, creo que es una locura asumir que todas las variantes del troyano" flashback "están completamente neutralizadas o incluso detectadas perfectamente .
Lo que siempre es preocupante es cuando un troyano ha logrado el control de una computadora y puede verificar con otras computadoras para descargar nuevas instrucciones, el cielo es el límite en cuanto a lo que se puede hacer si el programa no se detecta y la gente corre tiene la oportunidad de ganar dinero explotando información personal, contraseñas o simplemente dirigiendo el tráfico a sitios que reciben compensación de legítimos y redes como Google y otros.
Lectura adicional:
No pretendo causar una alarma indebida, pero este programa no solo se vio afectado por los resultados de búsqueda para pagar los ingresos por clic en una escala masiva, sino que también hizo un buen trabajo al tratar de recopilar contraseñas de macs que estaban comprometidas antes de que se tomaran las contramedidas. desplegado.
la respuesta corta es que no hizo nada, la respuesta larga es que los servidores maliciosos no se "encendieron" a partir de la fecha de la pregunta OP. no fueron "activados" para empujar nada hacia la botnet o hacia las máquinas infectadas.
si están encendidos hoy ... o cuando alguien lea esto, todavía no podrán hacer nada, porque el número de máquinas infectadas se exageró en primer lugar por "estimaciones" (por lo que no estaba "activado", no tenía suficiente) y cualquiera que sea el número real, ahora se trata de un número tan pequeño que la efectividad de la red de bots (que se configuró para hacer un tipo de denegación de servicio de ataque) es completamente ineficaz como DNS ... así que lo hizo y lo hace, y no hará nada ...
el malware también puede intentar robar contraseñas o inicios de sesión de usuarios ... lo que la gente no le dice es que la aplicación que debería descargarse para hacer eso es extremadamente compleja, y en realidad no se hace aquí. (ninguno de los applets sobre los que se dice que se "instaló" hizo esto) (ni podría hacerlo en la realidad)
se ha pasado una gran cantidad de información errónea sobre esto ... incluidas las "estimaciones" de infección ... realizada por una empresa de seguridad rusa ... (la información errónea se realiza principalmente para promocionar productos de seguridad y nombres de marcas para tratar de hacer que la gente gaste algo de dinero algún día)
para demostrar cuán "off" estaban las estimaciones, otros equipos de empresas de "seguridad", que no eran rusos, semanas más tarde mostraron menos infecciones, lo que no es una prueba en sí misma, lo que era una prueba, era que la seguridad rusa original La firma salió con un nuevo número que se acercaba al número original de infecciones ... mostrando que sus "estimaciones" siempre estaban apagadas ... (una segunda empresa de seguridad rusa "confirmó" sus números, pero en realidad estaban trabajando juntos) ....
el segundo bit de información errónea fue que podría "infectar" tu computadora sin que ingreses tu contraseña, esto no es correcto, podría poner un applet en un directorio de safari (u otro), solo si le diste tu contraseña ... lo que estaba haciendo si no conseguía que escribieras una contraseña, eran otros vectores de ataque que en general no eran efectivos ...
como prueba de esto ... los pasos para eliminar el applet de "firmas de seguridad" incluían comandos sudo de terminal que requieren su contraseña, en otras palabras para eliminarla, necesitaba una contraseña, para agregarla también necesitaba su contraseña ... . (hay excepciones a esto, como correr como root, y la cantidad de usuarios que hacen esto en mi vecindad inmediata de 1000 millas de radio que podría contar con una mano) (estoy exagerando, pero solo para mostrar el punto) ...
en resumen, solo eres una víctima del sobrehipo ... CAMBIO de sobreescritura ... casi todas las variantes de esto hasta que la gente era tan consciente de ello que ya no podía infectar, era una versión que pretendía ser una actualización flash, o similar ... (de ahí el nombre)
si no recibió un mensaje para "actualizar" su flash con una gran caja como un mensaje del instalador ... y, lo que es más importante, era más inteligente que un usuario promedio de computadoras y reconoció que cada ruta de ataque de ingeniería social comienza por ... . "debe instalar una actualización" o debe instalar una aplicación de software antivirus ...
entonces ni siquiera necesita verificar si tiene el malware ...
de hecho, un poco de información va un largo camino para entender esto ...
más personas se infectan al instalar el software "antivirus", que en realidad fue el troyano que otros programas maliciosos ahora ...
y aquí hay algo más ... más usuarios de computadoras han perdido datos (o tiempo de inactividad) debido al software antivirus LEGITIMATE, que usuarios de Mac han perdido datos (o tiempo de inactividad) debido a malware ... porque los programas de software en sí mismos tenía errores que las actualizaciones de las empresas se volverían falsas al creer que algunos archivos no eran correctos ... que en realidad eran archivos importantes ...
aquí hay otro, ni un solo paquete de software AV detecta o puede deshacerse del malware, hasta que el malware está en libertad ... y tiene que actualizar ese software AV ... esto no es software preventivo, es el software de hecho ... lo que hace poco bien a un usuario de Mac ... especialmente si usted es un usuario que se mantiene al tanto de las cosas ... y sabe acerca de las cosas al mismo tiempo que hay una actualización disponible ...
Lea otras preguntas en las etiquetas malware