Dárek k třetímu výročí Mac OS X: první virus!!
9. 04. 2004, 4:54 · Nakousnutá jabka
Tak a je to tu! Smáli jsme se uživatelům Windows a jejich děravým mailovým programům, kombinovaným s lidskou hloupostí (něco se spustí automaticky, na něco je nutné poklepat)? Možná máme podobné radovánky před sebou i na Macu – byť v mírnější podobě.
Společnost Intego, která vyrábí antivirus a další bezpečností nástroje pro Mac OS X, informovala o prvním trojském viru pro Maca – trojan je (jak již odkaz na Trojského koně napovídá) nebezpečný program, který se tváří jako něco jiného, v tomto případě MP3 soubor. Virus byl nazván MP3Concept (MP3Virus.Gen), soubor se na internetu šíří jako virus.mp3, dá se usuzovat, že si jen někdo zkouší, jak budou firmy a uživatelé reagovat. Podrobnosti a především soubor se samotným virem se objevily také na MacNN. Nezkoušejte si s virem hrát, pokud nevíte co děláte!
Trojan využívá toho, že v Mac OS X se díky kombinaci použití koncovek a meta informací může aplikace tvářit jako soubor jiného typu – takže zatímco si uživatel myslí, že otevírá MP3 soubor (identifikovaný podle koncovky), spouští aplikaci (což se pozná podle metadat), která mu může smazat všechny soubory v domovské složce, rozeslat viry na další počítače a “infikovat” další soubory MP3, JPEG, GIF a MOV (byť takové soubory ještě nebyly odchyceny). Intego tvrdí, že aby se virus zamaskoval, spustí také v iTunes MP3 soubor, který obsahuje, aby uživatel nepojal žádné podezření – ovšem ve staženém viru, na který jsme se koukal, a který má 88 kb, jsem žádnou hudbu nenašel – tak nevím.
Zajímavé však je (toho jsem si všiml teď při exprimentech s koncovkou .app), že Apple na podobnou možnost zneužití již myslel – i když v tomto případě to nepomůže. Mac OS X totiž běžně skrývá koncovku .app, která označuje řadu (ale ne všechny) aplikací – například iTunes se doopravdy jmenují iTunes.app. Ovšem v případě, že je součástí názvu ještě další řetězec, který by mohl připomínat koncovku souboru (dejme tomu .mp3), Finder zobrazí celý název, včetně koncovky .app – vyzkoušejte si to sami: udělejte novou složku, pojmenujte ji třeba “cokoliv.app” a uvidíte co se stane. Pak změňte název na “cokoliv.mp3.app” a uvidíte celý název (vyzkoušeno na Mac OS X 10.3.2)
Ovšem NE VŠECHNY aplikace mají koncovku .app, a to i v případě kdy se jedná o tzv. bundly (tedy složku obsahující potřebné “součásti”) – virus je však podle všeho “klasická” aplikace, tedy jeden soubor. Každopádně, opatrnosti není na zbyt – už i v případě Maců platí, že není radno spouštět soubory, které jsou od neznámého odesílatele, případně se tváří podezřele. Pokud chcete mít jistotu, podívejte se na soubor ve Finderu (ideálně v nastavení se sloupci), kde jasně uvidíte, zda se jedná o soubor, či aplikaci – v případě řady grafických formátů či MP3 by měl také Finder zobrazit náhled či náslech. Samozřejmě, pokud používáte antivirus, můžete se chránit také, ale je dobře na tento nástroj slepě nespoléhat – díky absenci reálného nebezpečí firmy ani uživatelé nejsou tak vycvičeni k časté aktualizaci dat. Intego prohlašuje o svém antiviru, že by měl být schopen odhalit i další viry, využívající této techniky. Možná by Apple mohl sám zapracovat ochranu do systému – stačí, aby systém automaticky přidával všem aplikacím s nezvyklou koncovkou také ono .app.
Po třech letech existence Mac OS X je tedy na světě první opravdový virus pro tento systém – teď jenom doufejme, že programátoři Apple měli více rozumu než ti v Redmondu a někdo neobjeví způsob, jak automaticky spouštět přílohy v Mailu či soubory přes Safari.
Ostatně i pro Linux existuje vir…
— catt 9.4.2004 09:56 #
Nicmene stale asi plati, ze viru je mene nez antivirovych programu :-)
— Milanek 9.4.2004 09:57 #
Co je podstatné je, že díky přístupovým právům každý, kdo má rozum, normálně “běží” v rámci neadminského usera, zatímco vše důležité (speciálně, ale nejen, aplikace) je přístupné jen adminovi. Takže virus nemá moc velkou šanci.
Může se samozřejmě pokusit smazat a/nebo napadnout výše popsaným způsobem datové soubory; jenže hned ve Finderu—pokud máte rozum a máte jej nastaven na Sloupce, což je ostatně jediný použitelný režim ;)—je na první pohled vidět typ. Mezi “Application” a “MP3 Audio File” je poměrně těžko přehlédnutelný rozdíl. Nejinak je tomu v mailu—tam se typ attachmentu zobrazí jako tooltip pro ten attachment.
Takže klídek, ano?
— Ondřej Čada 9.4.2004 11:41 #
a) pisu o tom ze mu smaze soubory v ramci domovske slozky (cti poradne)
b) pisu o tom, jak bezpecne detekovat co to je za soubor (cti poradne), ale rada uzivatelu otevira prilohy rovnou z mailu
c) uzivatele nepouzivaji jenom Mail, takze NE KAZDY program ti ukazuje v tooltipu co to je za soubor. Ostatne, ty si vzdy prohlednes jaky typ souboru to je?
— Martin Lér 9.4.2004 13:20 #
— Shadow 9.4.2004 19:49 #