Троянец, убойный для "Макинтоша"

Недавно компания Sophos сообщила об обнаружении в сети новой троянской программы BlackHole, которая написана под операционную систему MacOS X. До недавнего времени эта операционная система считалась одной из самых вирусоустойчивых в мире, компания Apple постоянно заявляла о том, что "для Mac вирусов вообще не существует". Но, похоже, это не так.

Фото: Фото: AP

Современным хакерам, видимо, удалось взломать один из бастионов, который долгое время считался относительно неприступным для троянских вирусов. На днях исследователи компании Sophos обнаружили новую троянскую программу, написанную для Mac. Правда, в данном случае это новое представляет собой забытое и модифицированное старое: троянец под гордым названием BlackHole RAT (где RAT расшифровывается как "remote access Trojan" — "троян удаленного доступа") является модификацией Windows-трояна darkComet.

Поскольку исходный код этого "коня" свободно доступен в интернете, похоже, автор BlackHole просто взял его и переписал под Mac. Кстати, в ряде троянских коней, созданных для атаки на MacOS эта "черная дыра" далеко не первая ласточка — попытки внедрить "маковые" трояны предпринимались и раньше: например, OSX/iWorkS-A, созданный в 2009 году и распространявшийся с пиратскими версиями iWork '09, или появившийся в прошлом году OSX/Pinhead (также известный как HellRTS), замаскированный под iPhoto.

Читайте также: Социальные сети становятся опасными

Напомню, что практически все троянские программы действуют подобно грекам из поэмы Гомера "Илиада", которые, чтобы обмануть своих врагов, спрятались внутри безобидного на вид деревянного коня. Трояны маскируются под безвредные или полезные программы, чтобы пользователь запустил их на своем компьютере. Следует также отметить, что в отличие от классических вирусов и червей, которые распространяются самопроизвольно, троянцы всегда связаны с каким-либо приложением и распространяются исключительно вместе с ним.

По данным исследователя Sophos Чета Вишневски, BlackHole довольно просто найти в интернете на хакерских форумах. Он также заявил, что этот вирус "очень простой", а сам создатель говорит, что еще не закончил работу над ним. Впрочем, в реальных атаках на "маковое" ПО этот троян пока не замечен. Тем не менее, принцип его действия уже хорошо известен многим хакерам, поскольку широко обсуждается в сети.

Фото: AP

Чем же потенциально опасен этот новоиспеченный троянец? Считается, что он способен выключать зараженные компьютеры, запускать произвольные команды в оболочке и причинять другие неприятности жертве. Однако главная функция этого вируса — генерация ложного всплывающего окна, требующего пароль администратора.

Интересно, что создатели BlackHole наделили свое детище некоторой долей ехидства. Известно, что данный вирус, обосновавшись в операционной системе, при перезагрузке показывает сообщение по умолчанию, которое осведомляет владельцев компьютеров о том, что их аппарат заражен, и делает это следующим образом. На экране появляется окно с текстом: "Я Троянский Конь, поэтому я заразил твой Mac. Я знаю, что большинство людей думает, что Mac нельзя заразить, но посмотри, ты УЖЕ заражен! У меня есть полный контроль над твоим компьютером, и я могу делать с ним все, что захочу, а ты не можешь никак меня остановить. Что ж, я очень новый вирус, еще находящийся в разработке, так что в будущем, когда разработка закончится, у меня будет еще больше функций".

Что и говорить, самомнение у данного вируса просто огромное. Однако его можно понять — до недавнего времени операционная система MacOS X считалась одной из самых вирусоустойчивых в мире. Недаром компания Apple в своих рекламных материалах по Mac vs. PC постоянно заявляет о том, что "для Mac вирусов вообще не существует". Правда, это не совсем так, о чем свидетельствуют многие факты.

Самый первый вирус, поражавший ПО "яблочных" компьютеров, появился в 1982 году. Тогда, как мы помним, были в ходу компьютеры Apple II, так что вирус создавался именно для них. Сконструировал эту вредоносную программу будущий разработчик поискового движка Blekko (альтернатива всем известному Google) 15-летний подросток Рич Скрента. Вирус назывался Elk Cloner. Он инфицировал загрузочный сектор Apple II и при каждой 50-й загрузке выводил на экран стишок:

Она придет на все ваши диски,
Она пропитает ваши чипы.
Да, это Cloner!

Она прилипнет к вам, как клей,
Она также модифицирует RAM.
Рассылайте Cloner!

Впрочем, в этом заявлении было больше бахвальства, чем описания реального вреда от вируса, который был достаточно безобиден. Однако он положил начало глобальной хакерской атаке на продукцию Apple, которая, впрочем, не была особо успешной. В период с 1982-го по 2010 год удалось создать лишь 12 вирусов, которым удалось пробить защиту операционных систем "Макинтошей" (для сравнения — успешных Windows-вирусов в период с 1995-го по 2010 год появилось несколько тысяч).

Наиболее опасным из них считался представленный в 1998 году вирус Sevendust, или 666. Этот виртуальный пакостник стирал все файлы в системе, которые не были частью каких-либо приложений. Он был известен как 666, потому что оставлял на диске файл с названием 666 и выполнял сам себя лишь по 6-м часам, 6-х и 12-х дней месяца. Также вирус переписывал меню приложений в "f" (шестнадцатеричное 16).

Фото: AP

Много хлопот владельцам "Макинтошей" доставлял и изобретенный в 2004-м червь для OS X под названием Renepo. Вирус пытался отключить защиту компьютера и скачать кейлоггер, как и некоторые другие программы, которые позволяли удаленно управлять компьютером. Однако осуществить свои коварные замыслы ему удавалось далеко не всегда, поскольку в рамках макинтошевских операционных систем подобное вообще очень сложно сделать.

Почему же MacOS и ее предшественницы считаются такими вирусоустойчивыми? Наверное, потому, что большинство вредоносного ПО работает благодаря использованию программных ошибок в операционной системе компьютера. Несмотря на то, что и у макинтошевских операционных систем они тоже есть (именно поэтому для их исправления Apple периодически выпускает обновления операционной системы), однако, судя по всему, на сегодняшний день эти ошибки не оказались достаточно плодовитой почвой для разработчиков вирусов.

Кроме того, известно, что Apple Mac OS X является сертифицированной UNIX-системой. Поэтому в ней реализована очень жесткая политика разграничения прав доступа (permissions), а также изоляция пользовательских данных от важных системных файлов. Именно это и делает ее малоуязвимой для атак троянцев, которые, как мы помним, сначала локализуются в данных пользователя, а уже потом забираются глубоко в системные файлы.

Читайте также: Шпионские игры Win32/Stuxnet

Доказано, что большинство вирусов для Mac могут распространяться лишь тогда, когда пользователи этих компьютеров запускают на них что-то, с чем они не знакомы и что было взято из непроверенных источников. Правда, сейчас в связи с тем, что "Макинтоши" становятся все более популярными, таких ловушек в сети становится все больше и больше. И хотя пользователи "яблочных" компьютеров все еще могут пока спокойно бродить по сети, читать электронную почту, чатиться в системах мгновенных сообщений до посинения, тем не менее существует потенциальная возможность того, что завтра утром кто-то выпустит вирус, который воспользуется неизвестной уязвимостью в OS X, и к обеду он уничтожит данные на всех "Маках" в мире, подключенных к сети. Возможно, таким вирусом окажется именно доработанный вариант BlackHole…

Все самое интересное читайте в рубрике "Наука и техника"