जबकि ओएस एक्स पहले 10 वर्षों के उपयोग के लिए मैलवेयर से अपेक्षाकृत शून्य था, हाल ही में मैलवेयर डरा हुआ है जिसने मैक सिस्टम की एक महत्वपूर्ण संख्या को प्रभावित किया है।

पहले में से एक मैकडिफेंडर नकली एंटीवायरस घोटाला था, जिसमें लोगों को क्रेडिट कार्ड की जानकारी जारी करने से डर था कि उनके सिस्टम संक्रमित थे। यह घोटाला काफी तेजी से हुआ क्योंकि इसने व्यक्तिगत जानकारी देने के लिए लोगों का पता लगाने से बचने और जबरदस्ती जारी रखने की कोशिश की। एक और घोटाला DNSChanger मैलवेयर था जिसने दुनिया भर में लाखों पीसी सिस्टम को प्रभावित किया था, और जो अंततः प्रभावित सिस्टम को दुर्भावनापूर्ण वेब साइटों को निर्देशित करता था, और जैसे MacDefender मैलवेयर ने लोगों को व्यक्तिगत जानकारी देने की कोशिश की।

ओएस एक्स को हिट करने के लिए नवीनतम मैलवेयर फ्लैशबैक घोटाला रहा है, जो शुरू में एक नकली फ्लैश प्लेयर इंस्टॉलर एप्लीकेशन के रूप में शुरू हुआ था जो कि अपेक्षाकृत आसान था। हालाँकि, जावा में अप्रभावित सुरक्षा छिद्रों (जिसे Apple ने संबोधित किया है) का उपयोग करके मैक पर जावा चलाने के लिए केवल एक दुर्भावनापूर्ण वेब पेज पर जाकर और किसी भी उपयोगकर्ता के ध्यान की आवश्यकता नहीं होने पर खतरे को जल्दी से अधिक गंभीर खतरे में बदल दिया। अब तक, यह अनुमान है कि अमेरिका और कनाडा में बहुमत के साथ दुनिया भर में 600, 000 से अधिक मैक सिस्टम संक्रमित हैं।

यह कैसे काम करता है?

फ्लैशबैक मालवेयर उन अनुप्रयोगों (विशेष रूप से वेब ब्राउजर) में कोड इंजेक्ट करता है, जिन्हें चलाने पर उन्हें निष्पादित किया जाता है, और जिसके बाद स्क्रीनशॉट और अन्य व्यक्तिगत जानकारी को रिमोट सर्वर पर भेजते हैं।

पहला कदम: एक्सप्लॉइटिंग जावा

जब आप मैलवेयर वाले दुर्भावनापूर्ण वेब पेज का सामना करते हैं और आपके सिस्टम पर जावा का एक अप्रकाशित संस्करण होता है, तो यह सबसे पहले एक छोटे जावा एप्लेट को निष्पादित करेगा कि जब रन जावा सुरक्षा को तोड़ देगा और उपयोगकर्ता के खाते में एक छोटा इंस्टॉलर प्रोग्राम लिख देगा। कार्यक्रम का नाम कुछ इस तरह रखा गया है .jupdate, .mkeeper, .flserv, .null या .rserv, और इसके सामने की अवधि इसे डिफ़ॉल्ट खोजक दृश्य में छिपी हुई बनाती है।

इसके अलावा, जावा एप्लेट "com.java.update.plist", "com.adobe.reader.plist", "com.adobe.flp.plist" या "null.plist" नाम की एक लॉन्चर फ़ाइल लिखेगा। वर्तमान उपयोगकर्ता के ~ / लाइब्रेरी / LaunchAgents / फ़ोल्डर, जो उपयोगकर्ता द्वारा लॉग इन करने पर लगातार .jupdate प्रोग्राम लॉन्च करेगा।

पता लगाने से बचने के लिए, इंस्टॉलर सबसे पहले कुछ एंटीवायरस टूल और अन्य उपयोगिताओं की उपस्थिति की तलाश करेगा, जो एक बिजली उपयोगकर्ता के सिस्टम पर मौजूद हो सकते हैं, जो एफ-सिक्योर के अनुसार निम्नलिखित शामिल हैं:

/ लाइब्रेरी / लिटिल स्निच

/Developer/Applications/Xcode.app/Contents/MacOS/Xcode

/ अनुप्रयोग / वायरसबार X6.app

/Applications/iAntiVirus/iAntiVirus.app

/Applications/avast!.app

/Applications/ClamXav.app

/Applications/HTTPScoop.app

/ आवेदन / पैकेट Peeper.app

यदि ये उपकरण पाए जाते हैं, तो मैलवेयर उन लोगों का पता लगाने से रोकने का प्रयास करता है, जिनके पास साधन और क्षमता है। कई मैलवेयर प्रोग्राम इस व्यवहार का उपयोग करते हैं, जैसा कि दूसरों में देखा गया था जैसे कि सुनामी मैलवेयर बॉट।

दूसरा चरण: पेलोड डाउनलोड करना

जब जपडेट प्रोग्राम निष्पादित होता है, तो यह एक रिमोट सर्वर से कनेक्ट होगा और एक पेलोड प्रोग्राम डाउनलोड करेगा जो स्वयं मैलवेयर है, और जिसमें दो घटक होते हैं। पहला मालवेयर का मुख्य भाग है जो व्यक्तिगत जानकारी को कैप्चर और अपलोड करता है, और दूसरा एक फ़िल्टर घटक है जिसका उपयोग मैलवेयर को चलने से रोकने के लिए किया जाता है जब तक कि वेब ब्राउज़र जैसे विशिष्ट कार्यक्रमों का उपयोग नहीं किया जा रहा हो।

तीसरा चरण: संक्रमण

मैलवेयर और फ़िल्टर डाउनलोड हो जाने के बाद, मैलवेयर सिस्टम को संक्रमित करने के लिए चलाया जाता है। यह वह जगह है जहां उपयोगकर्ता सॉफ़्टवेयर अपडेट के बारे में अलर्ट देखेंगे और उन्हें अपने पासवर्ड की आपूर्ति करने के लिए प्रेरित किया जाएगा। दुर्भाग्य से इस बिंदु पर संक्रमण को रोकने के लिए कुछ भी नहीं है, और पासवर्ड की आपूर्ति की जाती है या नहीं, केवल संक्रमण का तरीका बदल जाता है।

संक्रमण रूटीन की जड़ ओएस एक्स में अपहृत कॉन्फ़िगरेशन फ़ाइलों के आसपास आधारित होती है जो कि प्रोग्राम चलाए जाने पर पढ़ी और निष्पादित की जाती हैं। इनमें से एक को "Info.plist" कहा जाता है जो प्रत्येक OS X एप्लिकेशन पैकेज में "सामग्री" फ़ोल्डर में स्थित है, और जब भी उस विशिष्ट प्रोग्राम को खोला जाता है तो उसे पढ़ा जाता है। दूसरे को "environment.plist" कहा जाता है और एक छिपे हुए फ़ोल्डर (~ / .MacOSX / environment.plist) में उपयोगकर्ता खाते के भीतर स्थित है, जिसका उपयोग उपयोगकर्ता द्वारा किसी भी प्रोग्राम को खोलने पर पैरामीटर लॉन्च करने के लिए किया जा सकता है।

संक्रमण का पहला तरीका यह है कि यदि पासवर्ड की आपूर्ति की जाती है, तो जब भी ये प्रोग्राम खोले जाते हैं, तो मैलवेयर और फ़ायरफ़ॉक्स में मैलवेयर Info.plist फ़ाइलों को बदल देता है। यह संक्रमण के लिए मैलवेयर का पसंदीदा तरीका है, लेकिन यदि पासवर्ड की आपूर्ति नहीं की जाती है, तो मैलवेयर अपने संक्रमण के दूसरे तरीके का समर्थन करता है, जहां यह "environment.plist" फ़ाइल को बदल देता है।

पर्यावरण.प्लिस्ट फ़ाइल का उपयोग करके, जब भी कोई एप्लिकेशन खोला जाता है, तो मैलवेयर चलेगा, और इससे क्रैश और अन्य विषम व्यवहार होंगे जो उपयोगकर्ता के लिए अलार्म का कारण बन सकते हैं, इसलिए मैलवेयर तब अपने फ़िल्टर घटक का उपयोग केवल कुछ अनुप्रयोगों के चलने पर ही करता है सफ़ारी, फ़ायरफ़ॉक्स, स्काइप और यहां तक ​​कि ऑफिस इंस्टॉलेशन जैसे लॉन्च किए जाते हैं।

किसी भी तरह से, एक बार डाउनलोड किया गया मैलवेयर इन तरीकों में से किसी एक का उपयोग करके सिस्टम को संक्रमित कर देगा और जब भी वेब ब्राउज़र जैसे लक्ष्य एप्लिकेशन का उपयोग किया जाएगा, तब तक चलेगा। मैलवेयर के अधिक हाल के वेरिएंट में, जब "environment.plist" फाइल का उपयोग करके इंस्टॉल किया जाता है, तो यह सिस्टम की जाँच करेगा ताकि यह सुनिश्चित हो सके कि ऑफिस या स्काइप जैसे प्रोग्राम्स की पूरी इंस्टॉलेशन मौजूद है, और ये प्रोग्राम्स पूरी तरह से या ठीक से न होने पर खुद को डिलीट कर दें। स्थापित। एफ-सिक्योर यह अनुमान लगाता है कि यह मालवेयर की शुरुआती पहचान को रोकने का प्रयास है।

मैं इसका पता कैसे लगाऊं?

मैलवेयर का पता लगाना काफी आसान है, और आपको बस / एप्लीकेशन / यूटिलिटीज / फोल्डर में टर्मिनल एप्लिकेशन को खोलने और निम्नलिखित कमांड चलाने की आवश्यकता है:

डिफॉल्ट पढ़ा ~ / .MacOSX / पर्यावरण DYLD_INSERT_LIBRARIES

डिफॉल्ट्स / पढ़े / पढ़े गए / सराफरी.app/ कॉन्टेंट्स / इनफो लेसनवर्क

डिफॉल्ट्स / पढ़े / पढ़े गए / फ़ायर्फ़ॉक्स.ऐप / कॉन्टेंट्स / इनफो लेसनवर्क

ये आदेश कुछ लक्ष्य अनुप्रयोगों की "Info.plist" फ़ाइल और उपयोगकर्ता खाते में "environment.plist" फ़ाइल को पढ़ेंगे, और यह निर्धारित करेंगे कि क्या मालवेयर द्वारा उपयोग किए गए चर को स्वयं लॉन्च करने के लिए (जिसे "DYLD_INSERT_LIBARARIES" कहा जाता है) मौजूद है। यदि चर मौजूद नहीं है, तो ये तीन टर्मिनल कमांड आउटपुट करेंगे कि डिफ़ॉल्ट जोड़ी "मौजूद नहीं है, " लेकिन अगर वे मौजूद हैं तो ये कमांड एक पथ का उत्पादन करेंगे जो मैलवेयर फ़ाइल को इंगित करता है, जिसे आपको टर्मिनल में देखना चाहिए खिड़की।

उपरोक्त आदेशों के अलावा, आप अदृश्य .so फ़ाइलों की उपस्थिति की जांच कर सकते हैं जो मालवेयर के पिछले वेरिएंट टर्मिनल में निम्नलिखित कमांड चलाकर साझा उपयोगकर्ता निर्देशिका में बनाते हैं:

ls -la ~ /../ साझा / /। so

इस कमांड को चलाने के बाद, अगर आपको "ऐसी कोई फ़ाइल या निर्देशिका नहीं" का आउटपुट दिखाई देता है, तो आपके पास ये फ़ाइलें आपके उपयोगकर्ता साझा निर्देशिका में नहीं हैं; हालाँकि अगर वे मौजूद हैं तो आप उन्हें सूचीबद्ध देखेंगे।

मेरे द्वारा इसे कैसे दूर किया जाएगा?

यदि पहले तीन डिटेक्शन कमांड चलाने के बाद आप पाते हैं कि आपके सिस्टम में संशोधित फाइलें हैं और आपको संदेह है कि इसमें मैलवेयर इंस्टॉल है, तो आप इसे F-Secure के मैनुअल रिमूवल निर्देशों का उपयोग करके हटाने के बारे में जान सकते हैं। ये निर्देश थोड़े गहराई से हैं, लेकिन यदि आप उनका सटीक रूप से पालन करते हैं, तो आपको संक्रमण की प्रणाली से छुटकारा पाने में सक्षम होना चाहिए:

1. टर्मिनल खोलें और निम्न कमांड चलाएं (ऊपर जैसा ही):

   डिफॉल्ट्स / पढ़े / पढ़े गए / सराफरी.app/ कॉन्टेंट्स / इनफो लेसनवर्क

   डिफॉल्ट्स / पढ़े / पढ़े गए / फ़ायर्फ़ॉक्स.ऐप / कॉन्टेंट्स / इनफो लेसनवर्क

   डिफॉल्ट पढ़ा ~ / .MacOSX / पर्यावरण DYLD_INSERT_LIBRARIES

   जब ये कमांड चलाए जाते हैं, तो टर्मिनल फ़ाइल के आउटपुट के लिए पूर्ण फ़ाइल पथ का नोट बनाएं (इसे "DYLD_INSERT_LIBRARIES" शब्द के साथ जोड़ा जा सकता है)। फ़ाइल पथ को आउटपुट करने वाले प्रत्येक कमांड के लिए (और डोमेन जोड़ी मौजूद नहीं है), पूर्ण फ़ाइल पथ अनुभाग की प्रतिलिपि बनाएँ और कमांड में फ़ाइल पथ के स्थान पर फ़ाइल पथ के साथ निम्न आदेश चलाएँ (प्रतिलिपि और पेस्ट करें) यह आदेश):

   grep -a -o '__ldpath __ [- ~] *' FILEPATH
2. उपरोक्त आदेशों के आउटपुट में उल्लिखित फ़ाइलों का पता लगाएँ, और उन्हें हटा दें। यदि आप उन्हें खोजक में नहीं ढूँढ सकते हैं, तो टर्मिनल में प्रत्येक पहले प्रकार के "सूडो आरएम" के लिए एक एकल स्थान का अनुसरण करें, और फिर पहले कमांड के आउटपुट से पूर्ण फ़ाइल पथ का चयन करने के लिए अपने माउस कर्सर का उपयोग करें, और कमांड-सी का उपयोग करें टर्मिनल में इसे वापस कॉपी और पेस्ट करने के लिए कमांड-वी द्वारा पीछा किया जाता है। फिर कमांड निष्पादित करने के लिए एंटर दबाएं और इस फाइल को हटा दें।

   उदाहरण के लिए निम्नलिखित स्क्रीनशॉट देखें कि यह कैसे दिखना चाहिए:

   

3. जब आपने ऊपर "डिफॉल्ट्स" कमांड द्वारा सभी फाइलों के संदर्भों को हटा दिया है, तो आपने मैलवेयर फ़ाइलों को हटा दिया है, लेकिन आपको अभी भी बदल गए एप्लिकेशन और खाता फ़ाइलों को रीसेट करने की आवश्यकता है, इसलिए ऐसा करने के लिए निम्न कमांड चलाएं:

   sudo डिफ़ॉल्ट हटाएं /Applications/Safari.app/Contents/Info LSEnvironment

   sudo chmod 644 /Applications/Safari.app/Contents/Info.plist

   sudo डिफ़ॉल्ट हटाएं /Applications/Firefox.app/Contents/Info LSEnvironment

   sudo chmod 644 /Applications/Firefox.app/Contents/Info.plist

   डिफॉल्ट्स ~ / .MacOSX / पर्यावरण हटाएं DYLD_INSERT_LIBRARIES

   लॉन्चक्टल अनसेटिव डीवाईएलडी_आईएनईएसआरईआरटीआईबीआरएआरआई
4. खोजक में, गो मेनू पर जाएं और लाइब्रेरी चुनें (मेनू में इस विकल्प को प्रकट करने के लिए लायन में विकल्प कुंजी को दबाए रखें), और फिर लॉन्चअगेंट फ़ोल्डर खोलें, जहां आपको "com.java.update" नामक कुछ फ़ाइल दिखाई देनी चाहिए। .plist। " अगला, टर्मिनल में निम्न कमांड टाइप करें (नोट: "com.java.update" का नाम बदलकर कमांड में फ़ाइल के नाम को प्रतिबिंबित करने से पहले उसके .plist प्रत्यय, जैसे "com.adobe.reader" यदि आप। वह फ़ाइल है):

   डिफॉल्ट पढ़ा ~ / पुस्तकालय / LaunchAgents / com.java.update ProgramArguments

   जब यह कमांड पूरा हो जाता है, तो Enter दबाएँ और टर्मिनल विंडो पर आउटपुट किए गए फ़ाइल पथ को नोट करें।

   जैसा कि आपने पहले किया था, इस फाइल को फाइंडर में खोजें और इसे डिलीट कर दें, लेकिन यदि आप ऐसा नहीं कर सकते हैं, तो "sudo rm" टाइप करें और उसके बाद सिंगल स्पेस में टाइप करें और आउटपुट फाइल पाथ को कमांड में पेस्ट करें और एंटर करें।

5. पूर्व में पाई गई किसी भी छिपी हुई .so फ़ाइलों को निकालने के लिए, आप उन्हें टर्मिनल में निम्नलिखित कमांड चलाकर हटा सकते हैं (इस कमांड को कॉपी और पेस्ट करना सुनिश्चित करें, क्योंकि अंतिम घटक में बिल्कुल कोई स्थान नहीं होना चाहिए जिसमें प्रतीक और विराम चिह्न शामिल हों ):

   sudo rm ~ /../ साझा / /। so

   यह चरण पूरा होने के बाद, "com.java.update.plist" (या "com.adobe.reader.plist" नामक फ़ाइल को हटा दें और आपको जाना अच्छा होना चाहिए।

अद्यतन: 4/5/2012, 10:00 अपराह्न - मालवेयर के पूर्व वेरिएंट द्वारा उपयोग की जाने वाली छिपी हुई .so फ़ाइलों के निर्देश का पता लगाना और हटाना।