Шкідливе ПЗ під назвою «цунамі», яке розроблялося для ОС Linux приблизно з 2002 року, нещодавно було виявлено на OS X.
Програма (OSX/Tsunami.A) являє собою мінімальну загрозу, і, як і інші «трояни» та інші види шкідливих програм, на OS X він повинен бути встановлений навмисно вручну. І хоча більшості користувачів це не стосується, загроза існує, як існує і потенційна шкода для деяких з них.
Програма є IRC ботом, який може працювати в ролі клієнта при DDoS атаках на задані системи і мережі. Крім того, він має здатність завантажувати файли на заражену машину і запускати на ній команди на формування оболонки (команди терміналів).
Нинішні версії цього шкідливого ПЗ для OS X здаються неробочими і вважається, що знаходяться на тестових фазах.
IRC боти - поширені програми, які використовуються для більшої частини законних дій на IRC серверах, але як і у випадку з іншими звичними нам речами, створеними з хорошими намірами, ці боти потенційно можуть змінюватися і вести шкідливу діяльність.
Група з виявлення шкідливого ПЗ ESET на даний момент оголосила про те, що до різних серверів і каналів IRC можуть підключатися тільки два різновиди цього «трояна». Як і у випадку з іншим шкідливим ПЗ, це вимагає ручного запуску інсталяційних файлів, після чого «троян» проробляє наступне:
1. Встановлює шкідливе ПЗ у директорії/usr/sbin/«
.Троян »хитро маскується під процес logind, що працює з командного рядка, який здається важливим для системи. У середовищі OS X різні фонові програми називаються daemons і мають букви «d» в закінченні своєї назви, щоб відрізнятися від інших. «Троян» намагається симулювати це і розміщує себе в прихованій системній папці (/usr/sbin), де розташовані інші фонові сервіси, щоб змішатися з ними.
У OS X дійсно є фоновий процес під назвою logind, але він розташовується в директорії/System/Library/CoreServices/, а не/usr/sbin/.
2. Змінює програму запуску ^ Справжній
процес logind в OS X (той, який знаходиться в системній директорії CoreServices) управляється програмою запуску системи, яка називається "com.apple.logind.plist", розташованої в директорії/System/Library/LaunchDaemons/, але коли на комп'ютері інсталюється "Цaнми", який запуск ", який запускає", а ", який запускає", який запускає ", а", а ", а", що ", -", - "",, ", - Ц.
Правильна версія файла зі списком властивостей повинна виглядати так:
Якщо ж у системі встановлюється шкідливе ПЗ, то вміст цього файлу буде змінено і виглядатиме так:
Як і у випадку з іншими «троянами», цей являє собою мінімальну загрозу, і може бути легко виявлений, якщо у вас встановлена утиліта на кшталт Little Snitch, яка визначає, коли програми і фонові сервіси намагаються зв'язатися з серверами в Інтернеті. Якщо у вас встановлено Little Snitch, і ви бачите, що якийсь процес пробує зв'язатися з сервером pingu.anonops.li або x.lisp.su або будь-яким іншим сервером (особливо, якщо він використовує при цьому порт 6667 - порт, який зазвичай використовується для поширення шкідливого ПЗ через IRC з'єднання), відмовте йому в доступі і перевірте систему на предмет встановленого «трояна».
Для того щоб перевірити, чи не встановлено у вас в системі цей «троян», зайдіть в директорію/Macintosh HD/System/Library/LaunchDaemons/і відкрийте файл com.apple.logind.plist. Порівняйте його зі скріншотами, наведеними вище, і, якщо він виглядає як другий скріншот, замініть його вміст вмістом першого скріншоту. Оскільки цей файл знаходиться в системній теці, вам може знадобитися утиліта TextWrangler, або будь-яка інша схожа за дією, для проведення своєї авторизації і отримання доступу до редагування файла.
Крім повернення вмісту файлу запуску у вихідний стан, перевірте систему на предмет наявності незвичайного процесу logind. У Finder виберіть Go to Folder з меню Go і введіть у текстове поле «usr/sbin». Finder повинен відкрити приховану системну теку, де ви можете знайти і вилучити файл під назвою logind, якщо він там є. При спробі його видалити, система попросить у вас введення адміністраторського пароля. Введіть пароль і вилучіть файл.
У зв'язку з виявленням цього «трояна» 25 жовтня вірусні бази антивірусних програм, включаючи F-Secure і Intego, нещодавно оновили.