Flashback pod nadzorom, a ni edini virus za mace

Pred dobrim tednom smo pisali o razširjenem virus za mace Flashback, ki je okužil slab milijon računalnikov. V stari inkarnaciji, ki je razsajala septembra lani, je bil še vedno trojanski konj, saj za namestitev potrebuje uporabnikovo interakcijo, a za viruse na macih to seveda ni nujno potrebno. Flashback je že zmogel računalnik okužiti brez vednosti uporabnika, zato je povzročil več težav.

Flashback izkorišča ranljivost v Javi, ki jo v Mac OS X 10.7 privzeto sploh ni več, a jo ima marsikdo iz preteklih verzij (pri nadgradnji seveda ostane) ali pa jo je namestil posebej. Java je bila medtem že zakrpana, navodila za odstranitev virusa pa tudi niso skrivnost. Kljub temu je Apple včeraj izdal še orodje za avtomatsko prepoznavanje in odstranitev Flashbacka. Problem je, da teče le na Mac OS X 10.7, namenjen pa je tudi uporabnikom brez Jave, če so nemara staknili katero izmed prejšnjih inkarnacij Flashbacka - tiste, ki so zahtevale interakcijo z uporabnikom, ne izkoriščajo in torej ne potrebujejo Jave.

Uporabniki starejših verzij Mac OS X 10.6 niso bistveno na slabšem, saj lahko namestijo v petek izdan popravek Jave, ki poleg posodobitve za Javo tudi samodejno odstrani Flashback. Za OS X 10.5 in starejše pa ostanejo le navodila, kako izključiti Javo. Mimogrede, tudi popravek za novo verzijo operacijskega sistema za vsak slučaj izključi Javo v brskalniku in Java Web Start, če nista bila uporabljena več kot 35 dni. Rezultati so bili hitro vidni, saj se je število okuženih računalnikov več kot prepolovilo.

S tem pa ugotavljamo, da so časi, ko so bili maci imuni na virusne okužbe, dokončno mimo (če so sploh kdaj bili). Arhitekturno Mac OS X seveda ni imun, a ker je bil dolgo časa relativno slabo razširjen, pisci virusov niso imeli motivacije za pripravo virusov. Tega navideznega miru je sedaj konec, kar dokazuje nov virus. Raziskovalci pri Kaspersky Labu so odkrili dve varianti zalege z imenom SabPub. Prva se imenuje Backdoor.OSX.SabPub.a in razsaja že dober mesec ter prav tako izkorišča luknjo v Javi. Povzroča sicer manj škode kot Flashback, saj so jo uporabljali le v ciljanih napadih, a v principu je enako nevarna. Druga varianta SabPuba je starejša in kot napada prek okuženega Wordovega dokumenta, ki ga prejemnik prejme po elektronski pošti. Tudi ta je bil uporabljen le v ciljanih napadih, predvsem zoper tibetanske aktiviste.