На днях разработчик антивирусных решений F-Secure обнаружил новый вредоносный код для OS X. Данный код использует поддельную систему инсталляции и маскируется под стандартные файлы системы.
В вирусе используются спецсимволы Юникода в названии файла, что позволяет ему визуально отображаться на Mac как стандартный файл документов.
В отличие от Windows, где система полагается только на расширение файла для определения типа файла и замена расширения на .doc или .pdf уже позволяет ассоциировать код с соответствующим типом приложения, в Mac OS X этот трюк не проходит и Finder выявляет типы файлов не по разрешению, а по начальной последовательности структуры. Однако трюк со спецсимволами Юникода позволяет обмануть и этот подход.
Узнать истинную природу файла можно в Терминале, однако 99% пользователей Mac не пользуются им для навигации по файловой системе.
Для обмана пользователей, злоумышленники добавляли в название символ Юникода U+202e или так называемый перевод каретки в RLO и надежно прятали истинное расширение .app приложения, подставляя вместо него что-то более безобидно, например .doc или .rtf. Таким образом, в ОС новый файл для пользователя детектировался как текстовый или PDF, но при этом он не терял своей бинарно-вредоносной природы.
По словам представителей F-Secure, внутри файла находится вредоносный код Backdoor:Python/Janicab.A, открывающий доступ к пользовательскому компьютеру для установки других вирусов.
Разработчик антивирусных решений F-Secure уже передал данные о вирусе в Apple, чтобы компания добавила в операционную систему соответствующие механизмы защиты. В компании заявили, что против данной атаки может частично помочь система Gatekeeper, встроенная в Mac OS X.