Британська охоронна фірма Intego опублікувала пам’ятку безпеки, яка містить чіткий і детальний опис нової антивірусної системи Apple XProtect у Snow Leopard.
Є кілька цікавих нюансів: нова система Apple XProtect не може розпізнати всі варіанти троянів, від яких передбачається захищати, наприклад.
Крім того, система XProtect не виявляє троянських програм, захованих у файлах .mpkg, завантажених з Інтернету, що є серйозною слабкістю, повідомляє Intego. (Інсталятор Apple розпізнає файли двох типів - файли .pkg для простих пакетів та файли .mpkg, які містять декілька пакетів для встановлення.)
Пам’ятка явно корисна для себе- Intego продає кілька антивірусних пакетів і пакетів конфіденційності для Mac, але тим не менш дає чіткий і детальний уявлення про те, що робить нова система Apple XProtect-а чого не робить.
Повна пам'ятка після стрибка.
МЕМО ІНТЕГО БЕЗПЕКИ - 2 вересня 2009 р
Як працює функція захисту від шкідливого програмного забезпечення в Snow Leopard від Apple
Резюме
• Apple додала функцію захисту від шкідливих програм до Mac OS X 10.6, Snow Leopard
• Ця функція сканує лише наявність шкідливого програмного забезпечення у файлах, завантажених за допомогою певних програм
• Функція Apple проти шкідливого програмного забезпечення не шукає шкідливе програмне забезпечення під час копіювання файлів у Finder, із компакт-дисків, DVD-дисків, флеш-накопичувачів USB або мережевих томів
• Функція Apple від зловмисного програмного забезпечення наразі шукає лише двох троянських коней
• Apple не виявляє всіх варіантів найпоширенішого троянського коня
• Функція Apple від зловмисного програмного забезпечення не сканує пакети встановлення метапакетів (.mpkg)
• Функція Apple від шкідливого програмного забезпечення не відновлює заражені файли або заражені комп'ютери Mac
• Функція Apple проти шкідливого програмного забезпечення в Snow Leopard не пропонує користувачам Mac серйозний захист від вірусів та шкідливого програмного забезпечення
Оскільки ми розмістили статтю про Нова функція Apple від шкідливих програм у Snow Leopard, ряд джерел писали про те, як це працює. Ми надали порівняння функції Apple проти шкідливого програмного забезпечення та VirusBarrier X5, окреслюючи деякі функції, які є (або відсутні) у функції Apple. Але тепер ми хотіли б детальніше ознайомитися з цією функцією та описати, як вона працює, а також що робить - а що не робить - для захисту Mac від шкідливого програмного забезпечення.
Ряд веб -сайтів назвали цю функцію «XProtect», виходячи з назви файлу, що містить інформацію, необхідну для роботи цієї функції. Apple не надала цій функції жодної "офіційної" назви, тому ми просто будемо дотримуватися банальної "функції Apple проти шкідливого програмного забезпечення". Файл Xprotect, який називається Xprotect.plist, міститься у /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/; це більш -менш приховане розташування (воно всередині CoreTypes.bundle, яке являє собою набір, що містить переважно значки).
Але в цьому наборі є ще один файл, який нас цікавить: він називається Exceptions.plist і містить перелік програм, на які впливає функція Apple проти шкідливого програмного забезпечення. (Нижче ми уважно розглянемо вміст обох цих файлів.)
Отже, як працює ця функція? Apple вже досить давно використовує функцію "карантину" в Safari, Mail та iChat. Ця функція помічає, коли файли завантажуються, надходять як вкладення до повідомлень електронної пошти або надходять під час чатів, і встановлює розширений атрибут (дані, невидимі для користувачів) у таких файлах, що містять інформацію про те, коли і з яким файлом було завантажено файл застосування. Ось як виглядає один розширений атрибут для образу диска, який ми завантажили за допомогою Safari:
com.apple.quarantine: 0000; 4a9bc528; Safari.app; 2E402B0A-4A8B-4E0C- B51B-47DE7BD0361E | ком. Яблуко Сафарі
(Зверніть увагу, що цей розширений атрибут додається до всіх файлів, отриманих вищевказаним способом, але до карантину функція переглядає лише певні типи файлів, переважно виконувані файли - програми чи сценарії - та інсталятор пакети.)
Після встановлення образу диска, якщо двічі клацнути виконуваний файл або пакет інсталятора всередині образу диска, функція карантину виявить розширений атрибут, і система виведе попередження:
Це також станеться, якщо ви завантажите виконуваний файл або пакет інсталятора в архів. Після вилучення виконуваного файлу та подвійного клацання на ньому ви побачите попередження вище.
За допомогою шкідливого програмного забезпечення нова функція Apple відхиляє цю систему карантину для сканування файлу на наявність шкідливого програмного забезпечення, і, якщо воно щось знайде, відображається наступне:
Що шукає функція Apple проти шкідливого програмного забезпечення?
Тепер ми можемо зазирнути всередину файлу XProtect.plist, про який ми згадували раніше. Дивлячись на цей файл за допомогою редактора списків властивостей Apple, ми можемо побачити, що в загальній складності перераховано два типи шкідливих програм: RSPlug. Троянський кінь і троянський кінь iServices.
Intego відкрив колишню в Росії Жовтень 2007 року і останній в Січня цього року. Існує 17 варіантів троянського коня RSPlug та кілька варіантів троянського коня iServices, який наразі знаходиться в дикій природі.
Одне цікаве питання полягає в тому, чи може функція Apple проти шкідливого програмного забезпечення виявити всі існуючі варіанти троянського коня RSPlug. Мисливці за вірусами Intego провели деякі тести і виявили це Apple може виявити лише 15 із 17 варіантів троянського коня RSPlug. Це означає, що двоє з них пройдуть через мережу Apple. Виявляється, Snow Leopard не виявляє RSPlug. A ні RSPlug. Варіанти С. В додаток, Функція Apple проти шкідливого програмного забезпечення неправильно визначає варіанти, які вона знаходить, оскільки у всіх випадках попередження, що відображається для будь-якого варіанта троянських коней RSPlug, повідомляє, що це RSPlug. Виявлено варіант.
Щодо трояна iServices, ситуація дещо ускладнюється. Цей троянський кінь був знайдений у піратському програмному забезпеченні, розповсюдженому через сайти BitTorrent. Проте Apple не позначає файли, завантажені клієнтами BitTorrent (див. Нижче). Отже, якщо хтось не розпочне розповсюдження цих заражених образів дисків iWork '09 та Photoshop CS3 через веб-сайти, функція Apple від шкідливого програмного забезпечення ніколи не виявить жодних троянів iServices.
Треба відзначити серйозну слабкість цієї системи. Інсталятор Apple використовує два типи інсталяційних файлів: файли .pkg та .mpkg. Перші- це файли простих пакетів, а другі- файли метапакетів, які містять кілька пакетів, часто для інсталяцій, що містять кілька елементів. Виявляється, у наших тестах, Функція Apple проти шкідливого програмного забезпечення не виявляє шкідливих програм, що містяться у файлах .mpkg. Ми протестували ряд зразків троянських коней RSPlug у файлах метапакетів, і жодних сповіщень не відображалося. Однак деякі файли, що містяться в метапакетах, відкриваються самостійно, викликають сповіщення.
Які програми захищені?
Вище ми згадували, що існує файл під назвою Exceptions.plist, який містить список програм, які можуть використовувати функцію Apple від шкідливого програмного забезпечення.
У розділі Додатки ви можете побачити ідентифікатори програм, які Snow Leopard зараз відстежує на наявність шкідливого програмного забезпечення. Існують веб -браузери: Internet Explorer, Firefox, OmniWeb 5, Opera, Shiira, Mozilla Navigator та Camino; та поштові клієнти: Entourage, Seamonkey та Thunderbird. (На додаток до цих програм є власні Safari, Mail та iChat від Apple, які не відображаються у файлі; у них у файлах info.plist встановлено ключ LSFileQuarantineEnabled. Будь -яка програма, яка встановлює цей ключ, отримає вигоду від карантинного захисту Apple, але це залежить від окремих розробників.) Проте це не стосується всіх типів файлів; наразі програми та інші виконувані файли (наприклад, сценарії) позначені прапором, а також пакети інсталяторів. Деякі інші типи файлів отримують позначку, але троянські коні, що маскуються під файли, які не є програмами, можуть прослизати мережею.
У цьому списку особливо відсутні програми миттєвого обміну повідомленнями (такі як MSN, Adium та Skype), клієнти електронної пошти (PowerMail, Mailsmith тощо), але перш за все величезна кількість програм, які можуть завантажувати інші файли, окрім з Інтернету. Жодні програми FTP не захищені, а також клієнти BitTorrent або інші однорангові програми, обидва типи яких є загальними переносниками інфекції.
Слід зазначити, що Finder не захищений, тому файли, скопійовані з мережевих томів або знімних носіїв (наприклад, флеш -накопичувачів USB), взагалі не скануються. Крім того, функція Apple не може ні відновити заражені файли, ні відновити пошкодження, які могли бути завдані, якщо Mac вже заражений. Насправді, в останньому випадку Apple навіть не зможе сказати вам, що ваш Mac заражений.
Невідоме: оновлення визначення вірусу
Apple заявила, що оновлення файлу визначення вірусу, XProtect.plist, буде надаватися його програмою оновлення програмного забезпечення, але не так часто. Почнемо з того, що у нинішніх визначеннях є лише два трояни, що далеко не достатньо, враховуючи масштаби шкідливого програмного забезпечення, яке загрожує Mac. Незрозуміло, чи буде Apple чекати на оновлення системи безпеки, щоб оновити цей файл, чи будуть окремі оновлення частіше (Apple випускає оновлення безпеки для Mac OS X приблизно десять разів на рік середній). Комерційне антивірусне програмне забезпечення виграє від частих оновлень: у випадку Intego принаймні двічі на тиждень і частіше, коли виявляються нові шкідливі програми або нові варіанти.
Підводячи підсумки
Видно, що Apple додала до Snow Leopard дуже обмежену функцію захисту від шкідливих програм. Він не тільки сканує файли з декількох додатків і лише для двох троянських коней, але навіть не помічає всіх поточних варіантів, які ми тестували. Він не може відновити файли або сканувати ваш Mac, щоб знайти наявні інфекції. Він не виявляє шкідливих програм, що містяться в метапакетах, що робить дуже простим розповсюдження шкідливого програмного забезпечення, яке обійде захист Apple. Він не може сканувати мережеві томи і навіть не бачитиме заражені файли, скопійовані зі знімного носія. Коротше кажучи, функція Apple проти шкідливого програмного забезпечення в Snow Leopard примітна відсутністю серйозного захисту, який вона надає користувачам Mac.