Мнение

Один Барс и два троянца

28 августа вышло в свет новое обновление операционной системы MacOS X — Snow Leopard (Барс). Версия 10.6 имеет одно крайне показательное отличие от предыдущих. Впервые за долгую историю компании Apple — они реализовали антивирусный сканер.

Слухи о том, что в релизной сборке Барса имеется некий антивирусный функционал, появились несколько дней назад. В Сети были опубликованы скриншоты, на которых было изображено окно детектирования одного из известных троянцев под MacOS. Это вызвало эффект бомбы, ведь совсем недавно компания Apple выступала с крайне непоследовательными заявлениями, относительно необходимости наличия ( или отсутствия необходимости) антивирусных программ для их операционной системы.

Официальные представители компании отказались комментировать эту информацию до выхода версии 10.6, делая намеки, что после 28 августа, возможно, они смогут рассказать больше. Этот день наступил, однако львиная доля правды была уже известна и всего лишь подтвердилась.

Пытливые исследователи, в чьи руки попала сборка 10a421A, установили, что в нее входит следующий файл:

System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.plist

Этот файл содержит в себе пять простейших записей-сигнатур для двух троянских программ:

Это собственная разработка Apple, которая не имеет ничего общего с бесплатным антивирусом Clamav (как это считалось некоторыми специалистами). Почему не Clamav — было достаточно очевидно. Apple не желает иметь в своем коде что-то под лицензией GPL (по которой распространяется Clamav). Так же она не связана ни с одной из существующих антивирусных компаний.

Компания Intego, которая делает собственный антивирус для MacOS, провела исследование, которое выявило следующие ключевые моменты:

1. Встроенный антивирус проверяет только файлы, которые были загружены через следующие приложения — Safari, Mail, iChat, Firefox, Entourage, и некоторые другие браузеры. Он не проверяет файлы из других источников — например из торрентов или с ftp.
2. Антивирус способен обнаруживать только два троянца, в то время как антивирусная индустрия знает о нескольких десятках вредоносных программ для Mac.
3. Антивирус способен обновляться при помощи стандартных обновлений от Apple.

Ряд экспертов уже высказали мнение, которое я категорически поддерживаю — подобное антивирусное решение абсолютно неспособно решать задачи антивирусной защиты пользователя и, более того, дает ложное чувство защищенности.

Этот антивирус, очевидно задумывавшийся как аналог Microsoft Removal Tool для Windows, ставит перед самой компанией Apple ряд задач. Его появление, де-факто означает, что Apple вступает в область прямой конкуренции с другими антивирусными компаниями, само становится членом антивирусной индустрии и должно иметь соответствующие подразделения — антивирусную лабораторию, службу мониторинга, службу антивирусной поддержки и так далее. Ничего из этого в структуре нынешнего Apple нет. А «антивирус» уже есть.

Готова ли Applе вступить на путь Microsoft, которой пришлось заниматься антивирусами, причем уделяя этому массу времени и ресурсов и изменяя другие свои продукты для решения проблем безопасности ? Не уверен.

С другой стороны, появление антивируса в MacOS может подстегнуть вирусописателей к началу массового создания вредоносных программ для данной платформы. Это как красная тряпка для быка — и ей уже взмахнули.

Таким образом, данным антивирусом, с одной стороны, Apple не делает ничего для реальной защиты пользователей и, с другой стороны, вступает в гонку не только с другими антивирусными компаниями, но и с киберпреступниками. Пока, для меня, ситуация в которой оказалась Applе, выглядит весьма сложно разрешимой.

P.S. Бета-версию Антивируса Касперского для MacOS вы можете взять здесь 🙂

Один Барс и два троянца

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике