Arabaq.com >> الحياة >  >> الإلكترونيات

احترس من فيروس OS X Keydnap

على الرغم من أن العديد من فيروسات Mac لا تشكل تهديدًا كبيرًا ، إلا أن هذا الفيروس يحتاج إلى مزيد من التدقيق. حدث أيضًا ظهوره في نفس الوقت تقريبًا مثل OSX.Backdoor.Eleanor البرامج الضارة ، والتي ظهرت أيضًا في يونيو 2016.

عندما ظهر Eleanor و Keydnap لأول مرة ، كان هناك أيضًا تحليل يشير إلى أن كلاهما مرتبطان بفيروسات Windows الضارة ، والمعروفة باسم Fareit / Pony ، كما لو كان المنشئ أو المنشئ (المصممون) مصممين على سرقة أكبر قدر ممكن من البيانات والتسبب في أكبر عدد ممكن من المشاكل في نفس الوقت.

عندما تم اكتشاف Keydnap لأول مرة ، لاحظ محللو الأمن أنه جاء في شكل مرفق ، عادة ما يكون ملف Zip ، أو مرفقات أخرى أكثر اعتدالًا ، مثل .JPG أو .TXT. من غير الواضح كيف تلقى الضحايا رسائل البريد الإلكتروني هذه ، على الرغم من أنه لا يمكن استبعاد نواقل الهجوم المعتادة:البريد الإلكتروني العشوائي والتصيد الاحتيالي والتنزيلات من مواقع الويب غير الموثوق بها ومواقع مشاركة الملفات. لا يمكن استبعاد تبادل العملات المشفرة ومنصات المراسلة أيضًا.

بمجرد تنزيل الملف القابل للتنفيذ على جهاز Mac ، يتم تجهيزه لاستبدال كلمات مرور المسؤول لإنشاء منزل دائم على جهاز Mac الخاص بك ، وبالتالي يكون بمثابة باب خلفي دائم لمجرمي الإنترنت. يمكنه أيضًا إخفاء موقعه بعمق داخل الملفات والمجلدات ، وأكبر خطر يمثله هو أنه يمكنه سرقة كلمات المرور المخزنة على OS X Keychain.

ما هو Keydnap؟

وجد المحللون الأمنيون أن المنشئ قام بنسخ "مثال لإثبات المفهوم المتاح على Github يسمى Keychaindump" ، بناءً على العمل الذي تمت تغطيته في ورقة كتبها K. Lee و H. Koo. المفهوم الذي وضعه Keydnap موضع التنفيذ هو قراءة ذاكرة الأمان لاكتشاف مفتاح فك التشفير لسلسلة مفاتيح مستخدم Mac.

بمجرد أن يكون لديه ذاكرة التخزين المؤقت الأولية للبيانات ، فإنه يقوم بإبلاغ خادم القيادة والتحكم الخاص به باستخدام وكيل onion.to Tor2Web عبر HTTPS. باستخدام هذه المعلومات ، يمكن لمن يقفون وراء هذه البرامج الضارة الوصول إلى أي موقع ويب باستخدام كلمات المرور المخزنة في سلسلة المفاتيح الخاصة بك. ما لم تكن على دراية بهذا الفيروس ، حتى تغيير كلمة المرور يعني أنك لا تزال معرضًا للخطر لأن Keydnap ينشئ بابًا خلفيًا دائمًا في جهاز Mac الخاص بك.

إحدى الطرق التي تتجنب بها إجراءات الأمان المعتادة هي أن الامتداد القابل للتنفيذ يتضمن رمز مسافة. بدلاً من jpg. أو txt. ، يتم تنزيله كملف. رسالة قصيرة. تعني هذه المساحة أن النقر المزدوج على الملف سيفتحه في Terminal ، بدلاً من المكان الذي تتوقعه:البرنامج الذي يجب أن يفتح في Finder. يتضمن التنزيل القابل للتنفيذ أيضًا رمز الباحث الذي يظهر عادةً عند تنزيل ملف TXT أو JPEG ، مما يزيد من احتمالية أن يثق شخص ما في التنزيل بما يكفي للنقر عليه.

هناك طريقة أخرى يتعامل بها Keydnap مع الأمان وهي أنه يحتوي على ملف Mach-O قابل للتنفيذ ، مما يعني أن جهاز Mac الخاص بك لن يعرض التحذير المعتاد بشأن التنزيل. يقوم بإغلاق نافذة Terminal بسرعة ، ويقوم بإنشاء مستند شرك ويضيف إدخالاً إلى دليل LaunchAgents ، مما يعني أنه سينجو من إعادة التشغيل. يحدث كل هذا بسرعة كبيرة لدرجة أنه من المحتمل أن مستخدم Mac لا يدرك حتى أنه سمح لفيروس ضار بالدخول. كما أنه يستبدل مالك icloudsyncd بصلاحية الجذر:admin وجعل الأمر setuid و setgid القابل للتنفيذ ، للتأكد من أنه سيعمل كمعرف الجذر في المستقبل.

من الواضح أن هذا فيروس ضار وخطير غير مرحب به ويجب إزالته في أسرع وقت ممكن.

كيفية إزالة Keydnap؟

كما لاحظ محللو الأمن بالفعل ، يمكنه تجاوز الأمان ودمج نفسه في أماكن عديدة عبر جهاز Mac الخاص بك لإنشاء باب خلفي دائم لمجرمي الإنترنت. قد يكون من الصعب إزالته دون بعض المساعدة.

سوف تحتاج إلى البحث في عدة /Library المجلدات ، بما في ذلك LaunchAgents ، بالإضافة إلى التأكد من استبدال Support/com.apple.iCloud.sync.daemon يعود الدليل إلى الإعداد الافتراضي ، قبل أن يتم استبداله بـ Keydnap. أحد أسباب صعوبة ذلك هو أننا نعلم أن Keydnap يمكن أن ينجو من إعادة التشغيل ، لذلك ما لم تلتقط كل مكون وتزيله ، فقد يعود الفيروس مرة أخرى.

هل يمكن إزالة Keydnap بأمان؟

نعم ، يمكن ذلك ، مع CleanMyMac X.

يعد CleanMyMac X حارسًا قويًا لنظام التشغيل Mac ، حيث يحافظ على جهاز Mac الخاص بك في مأمن من البرامج الضارة وبرامج الفدية وبرامج الإعلانات المتسللة. إنها أيضًا أداة أساسية لتحسين الأداء ، حيث تكشف وتزيل الكثير من الملفات غير المرغوب فيها من جهاز Mac الخاص بك. عندما يتعلق الأمر ببرامج الإعلانات المتسللة غير المرغوب فيها ، فإليك كيفية استخدامها لاستعادة Mac للطلب :

  1. قم بتنزيل CleanMyMac X هنا (مجانًا!)
  2. انقر فوق علامة التبويب إزالة البرامج الضارة ؛
  3. انقر فوق "مسح" للبحث عن Keydnap ؛
  4. سيُظهر CleanMyMac X أنك مصاب ببرنامج Keydnap أو أي برامج ضارة أخرى ؛
  5. انقر فوق "إزالة" وسوف تختفي إلى الأبد.

تعد إزالة Keydnap أمرًا ضروريًا للحفاظ على مستوى الأمان الذي تتوقعه من جهاز Mac الخاص بك. أيضًا ، إذا تبين أنك مصاب بـ Keydnap ، فيجب عليك تغيير كل كلمة مرور في سلسلة المفاتيح الخاصة بك ، وقد يكون من المفيد تغيير كلمة مرور تسجيل الدخول إلى Mac و / أو معرف Apple ، من أجل الأمان. انظر في كل حساب قد يكون قد تأثر بهذا للتحقق من أي نشاط غير عادي ، أو أي فيروسات أخرى قد تكون دخلت من خلال الباب الخلفي.


الإلكترونيات
الأكثر شعبية

  1. بودكاست NASM-CPT:كيف تتذكر أسماء العضلات

    الرياضة

  2. كيفية إنشاء محرك أقراص ثابت على جهاز Mac:تحكم بشكل كامل في نظام الملفات الخاص بك

    الإلكترونيات

  3. دجاج حرير صيني غريب

    الحيوانات والحشرات

  4. أقدم دليل على اكتشاف الصفائح التكتونية ، مختومة بالبلورات القديمة

    العلوم