Майже місяць тому я вже розповідав на сторінках Маковода про зростаючу популярність комп’ютерів Mac і пов’язану з цим активність розробників шкідливого програмного забезпечення для яблучної платформи. На жаль, нова різновид вже відомої троянської програми ставить під загрозу безперебійну роботу вбудованим в Mac OS X функції захисту від шкідливого ПО.

Троян, про який йде мова, завдяки знахідці F-Secure отримав назву «Trojan-Downloader: OSX/Flashback.C». По суті справи, він є варіацією вже відомого OSX/Flashback.A, який видає себе за установник Flash-плеєра і був виявлений експертами цієї ж компанії ще у вересні.

«Маскування» цієї шкідливої програми не змінилася, але її творці пішли ще далі — тепер після установки вони відключають не тільки функції мережевої безпеки, але і автоматичне оновлення вбудованого в яблучну операційну систему захисного механізму, відомого також під назвою XProtect. А це, в свою чергу, означає, що «заражені» користувачі навіть при всьому своєму бажанні не зможуть отримати оновлення від Apple, здатні видалити троян.

Програмісти Apple додали загальносистемну функцію захисту від шкідливого програмного забезпечення ще в 2009 році як частина Mac OS X 10.6 Snow Leopard, але ця функція отримала широку популярність після появи Mac Defender, який на відміну від OSX/Flashback.A маскувався під антивірус.

В рамках Security Update, 2011-003, випущеного в травні цього року, Apple не тільки «наділила» систему здатністю виявляти/видаляти Mac Defender і його відомі різновиди, але включила щоденне автоматичне оновлення бази XProtect. Тому поки ця системна утиліта оновлювалася, користувачі Mac OS X могли почувати себе у відносній безпеці.

Але тепер робота цієї функції виявляється під загрозою: за даними F-Secure, як тільки користувачі під час установки фіктивного Flash-плеєра введуть дані від адміністраторської запису для свого комп’ютера (найчастіше це пароль єдиного користувача в системі), троянська програма отримує шляху до plis файлу бинарнику XProtectUpdater, вивантажує його фонову службу (daemon) і перезаписує, а по суті — знищує, ключові файли, які потрібні для отримання регулярних оновлень XProtect з серверів Apple.

Як відзначають експерти F-Secure у своєму блозі, «тактика початкового виведення з ладу системи захисту стає дуже поширеною серед сучасних шкідливих програм — вбудовані механізми все частіше будуть природною метою на будь-якій обчислювальній платформі».

Для того, щоб видалити OSX/Flashback.C, потрібно провести сканування системи і визначити «інфіковані» файли, після чого очистити їх згадки з двох plist-файлів, що належать до Safari і Firefox. Більш детальну інформацію про ручному видаленні даного вірусу можна знайти на цій сторінці сайту F-Secure.