Mac Defender กลายพันธุ์เป็น Mac Guard ติดตั้งได้โดยไม่ต้องใช้สิทธิแอดมิน

By mk

on 26 May 2011 - 09:43 Tag: Apple, Security, Mac OS X, Malware

Apple

มัลแวร์ Mac Defender เริ่มแตกหน่อกลายพันธุ์ สายพันธุ์ใหม่ที่น่ากลัวใช้ชื่อว่า Mac Guard คราวนี้มันถูกแก้ไขให้ติดตั้งลงในโฟลเดอร์ Applications ของผู้ใช้ (ไม่ใช่ของระบบ) ซึ่งไม่ต้องใช้รหัสผ่านของแอดมินตอนติดตั้ง

นั่นแปลว่าผู้ใช้ที่เผลอไปเปิดไฟล์ Mac Guard หลังดาวน์โหลด ก็อาจจะได้ Mac Guard ติดตั้งอยู่ในเครื่องแบบที่ไม่รู้ตัวมาก่อน

บริษัทรักษาความปลอดภัย Intego แนะนำให้ผู้ใช้ Safari ปิดตัวเลือก Open ‘safe’ files after downloading เพราะจะเป็นช่องทางให้ Mac Guard ถูกรันโดยอัตโนมัติ รายละเอียดทางเทคนิคของ Mac Guard ดูในลิงก์ของ Intego ครับ

ที่มา - Intego, Ars Technica

Hiring! บริษัทที่น่าสนใจ

Carmen Software

Hotel Financial Solutions

Next Innovation (Thailand) Co., Ltd.

We are web design with consulting & engineering services driven the future stronger and flexibility.

KKP Dime

KKP Dime บริษัทในเครือเกียรตินาคินภัทร

Kiatnakin Phatra Financial Group

Financial Service

Fastwork Technologies

Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน

Thoughtworks Thailand

Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน

Iron Software

Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.

CLEVERSE

Cleverse is a Venture Builder. Our team builds several tech companies.

Nipa Cloud

#1 OpenStack cloud provider in Thailand with our own data center and software platform.

Bangmod Enterprise

The leader in Cloud Server and Hosting in Thailand.

CIMB THAI Bank

MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank

Bangkok Bank

Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking

MuvMi (Urban Mobility Tech Co.,Ltd.)

Shape the future of urban mobility towards affordable, clean, and safe solutions

T.N. Digital Solution Co., Ltd.

TNDS has been involving in every first move of banking’s major digital transformation.

KBTG - KASIKORN Business-Technology Group

KBTG - "The Technology Company for Digital Business Innovation"

Siam Commercial Bank Public Company Limited

"Let's start a brighter career future together"

Icon Framework co.,Ltd.

Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก

REFINITIV

The Financial and Risk business of Thomson Reuters is now Refinitiv

H LAB

Re-engineering healthcare systems through intelligent platforms and system design.

The Gang Technology Co., Ltd.

We're a Digital Agency that helps our customers transform their business into digital with ease.

LTMH

LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย

Seven Peaks

We Drive Digital Transformation

Wisesight (Thailand) Co., Ltd.

The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure

MOLOG Tech

We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.

Data Wow Co.,Ltd

We enable our clients to realize increased productivity by solving their most complex issues by Data

LINE Company Thailand

LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call

LINE MAN Wongnai

Join our journey to becoming No.1 food platform in Thailand

เอาแล้วไง เหมือนไวรัสใน

hisoft Thu, 26/05/2011 - 09:52

เอาแล้วไง เหมือนไวรัสใน windows ที่ตอนหลังไม่เด้ง UAC แล้วสินะ

สู้ไม่ถอยจริงๆ มีหวังได้

collection Thu, 26/05/2011 - 09:56

สู้ไม่ถอยจริงๆ มีหวังได้ แพทใหม่กันอีกแล้วสำหรับ mac osx

ได้เวลาแมวไล่จับหนูสำหรับแมคแ

winggundamth Thu, 26/05/2011 - 10:16

ได้เวลาแมวไล่จับหนูสำหรับแมคแล้วสินะ

ก็คงบอกให้ไปลง antivirus

kswisit Thu, 26/05/2011 - 10:24

ก็คงบอกให้ไปลง antivirus เหมือนเดิม

คงไม่มีโฆษณาประมาณ PC doesn’t

Orion Thu, 26/05/2011 - 10:28

คงไม่มีโฆษณาประมาณ PC doesn’t get Mac viruses ออกมานะ

ต่อไป Safari

neizod Thu, 26/05/2011 - 10:32

ต่อไป Safari จะเปลี่ยนชื่อเป็น iLLUSiON หรือเปล่าครับ?

เตรียมรับ SP1 ฮ่า

konifer Thu, 26/05/2011 - 11:18

เตรียมรับ SP1 ฮ่า

อ้า..

newstar Thu, 26/05/2011 - 11:54

อ้า.. ตั้งแต่ใช้แมคมาผมเปิดซาฟารีนับครั้งได้ เพราะได้มาวันแรกก็โหลดโครมลงเครื่องแล้วครับ
ส่วนตัวยังมีความเชื่อมั่นในความปลอดภัยของโครมมากกว่าซาฟารี

Virus

line Thu, 26/05/2011 - 12:04

Virus ป้องกันได้ด้วยการ...ไม่รู้ :P

ในที่สุดวันนี้ก็มาถึง สำหรับ

Ishmael Thu, 26/05/2011 - 12:42

ในที่สุดวันนี้ก็มาถึง สำหรับ Malware ใน MacOSX ที่ระบาดทั่วไปเป็นวงกว้าง
Apple คงต้องเตรียมตัวให้ดีสำหรับ OSX 10.7(Lion) ที่กำลังจะวางขายในอีกไม่กี่เดือนข้างหน้า

ถ้าจำนวนไวรัสเป็นเครื่องมือชี

giogio Thu, 26/05/2011 - 16:08

ถ้าจำนวนไวรัสเป็นเครื่องมือชี้วัดของความนิยมใน OS รูปแบบหนึ่ง งั้นก็ขอยินดีกับ Apple ด้วยครับ คุณได้มาถึง milestone #1 แล้วนั่นคือ "มีไวรัสเป็นของตัวเอง"

Activement unlock : my own

Orion Thu, 26/05/2011 - 16:28

Activement unlock : my own virus

555

hisoft Thu, 26/05/2011 - 17:05

555

สงครามเริ่มต้นขึ้นแล้วสินะ...

Sabrekun Thu, 26/05/2011 - 15:24

สงครามเริ่มต้นขึ้นแล้วสินะ... รอดูว่าแอปเปิ้ลจะทำยังไงต่อไป... อยากรู้

อาจจะเป็นแผนจากขาใหญ่เอง ไม่ม

AMp Thu, 26/05/2011 - 16:01

อาจจะเป็นแผนจากขาใหญ่เอง

ไม่มีไวรัสใช่มั้ย ป๋าจัดให้

หุหุ

ดีไม่ดี ผมว่า MS

tanapon000 Thu, 26/05/2011 - 16:58

ดีไม่ดี ผมว่า MS อาจจะมีส่วนร่วมกับไวรัสครั้งนี้ด้วย 555+

ถ้าไมโครซอฟท์ออก MSE for Mac

mk Thu, 26/05/2011 - 18:34

ถ้าไมโครซอฟท์ออก MSE for Mac โฆษณาว่ากัน Mac Defender ได้นี่คงขำกันไม่ออก

ถ้ามีจริงนี่ผมขำหนักเลยครับ

Perl Fri, 27/05/2011 - 02:55

ถ้ามีจริงนี่ผมขำหนักเลยครับ :P

โดนซะบ้างก็ดีจะได้เติบโตไปอีก

zerocool Thu, 26/05/2011 - 18:28

โดนซะบ้างก็ดีจะได้เติบโตไปอีกขั้น

MS เอาเวลาไปปั้น Windows

LuvStry Thu, 26/05/2011 - 18:29

MS เอาเวลาไปปั้น Windows phone 7 ดีกว่าครับ ถ้าจะทำ ก็ทำไปนานตั้งแต่ที่ Mac เคลมตัวเองว่าไม่มีไวรัสแล้ว

มันดีตรงที่

dearboy15 Thu, 26/05/2011 - 18:47

มันดีตรงที่ แค่ไวรัสเกิดใหม่ตัวเดียว มันก็เป็นข่าวได้ คนใช้จำนวนมากจะได้รู้จากข่าวและระวังมากขึ้น

บั๊กเก่าแก่มาก =_="

lancaster Thu, 26/05/2011 - 19:07

บั๊กเก่าแก่มาก =_="

มันเป็นบักเหรอ...ก็ถ้าเป็น

kannjihyun Thu, 26/05/2011 - 20:18

มันเป็นบักเหรอ...ก็ถ้าเป็น ~/Applications ใน home directory มันก็ไม่จำเป็นจะต้องมี password เพื่อใข้ privilege ในการเขียน file อยู่แล้วนี่...

แต่ที่น่าสังเกตก็คือจะมีผู้ใช้กี่คนกันเชียวที่ลงโปรแกรมไว้ที่ ~/Applications ไม่ใช่ /Applications

ก็แค่ไม่ run โปรแกรมประหลาด ๆ ที่อยู่ใน ~/Applications ก็จบ...

การที่พยายามย้าย target จาก /Applications ไปยัง ~/Applications ไม่เห็นจะเป็นการกลายพันธุ์ที่ใหญ่โตอะไรเลย... :|

เอ...ไหนแมคบอกว่าแมคไม่มีไวรั

Mc_Jewel Fri, 27/05/2011 - 00:51

เอ...ไหนแมคบอกว่าแมคไม่มีไวรัส ไงจ๊ะ !!

เฉพาะพวกไม่รู้จริงน่ะครับ

nessuchan Fri, 27/05/2011 - 01:20

เฉพาะพวกไม่รู้จริงน่ะครับ ที่บอกว่าแมคไม่มีไวรัส ^^"

มันเป็น Malware ชนิดหนึ่งครับ

kannjihyun Fri, 27/05/2011 - 02:36

มันเป็น Malware ชนิดหนึ่งครับ ถ้าเรียกตามลักษณะการแพร่กระจายก็ไม่น่าจะเรียกว่า virus ได้ แต่ก็นั่นแหละ มันไม่ต่างกันมากหรอก

ที่เค๊าบอก ๆ กันว่าแมคไม่มีไวรัสนี่เป็นเพราะว่าระบบ security ของ system files มันแข็งมาก ๆ ครับ ถ้าไม่รู้ root ก็ไม่สามารถทำอะไรกับ core ระบบได้เลย ของแบบนี้ไม่ใช่เฉพาะ Mac หรอกครับ Unix variants ทั้งหลายใช่หมด

ดังนั้น malwares ทั้งหลายที่พยายามจะมาติดที่เครื่องแมคทั้งหมดมันก็เลยพยายามมาใน strategy เดียวกัน นั่นก็คือพยายามที่จะขโมย admin (แทบจะ root ละ แต่ก็ยังไม่ root) account ให้ได้ ซึ่งรูปแบบที่เห็นกันได้บ่อย ๆ ก็คือ fake installer นั่นเอง Mac defender ก็ตกอยู่ในกลุ่มนี้

ทีนี้ การออกแบบของ Mac OS X นั้นมันมี Application directory อยู่ 2 แบบครับ นั่นก็คือ System's application directory (/Applications) กับ local application directory (~/Applications) ซึ่งอยู่ภายใน User's home directory และด้วย nature ของ unix, mac applications ทั้งหลาย เกือบทุก ๆ โปรแกรมที่ compiled แล้วภายใต้ environment ที่คล้าย ๆ กัน (OS เดียวกัน) สามารถทำงานได้ภายในตัวมันเอง ใน directory ของมันเอง โดยแต่ละ app สามารถติดต่อไปยัง core/shared library ใน system ได้โดยไม่ต้องสร้าง temp/connecting directories เพิ่มเติมสำหรับ files ที่ถูกสร้างจากตัว installer เหมือนของ windows เพราะฉะนั้น หลาย ๆ โปรแกรมของ Mac นั้นแค่เอา icon ของ app (จริง ๆ แล้วคือ directory) ไปวางไว้ที่ไหนซักที่ มันก็ทำงานได้แล้ว

ดังนั้น เจ้า local application directory (~/Applications) ซึ่งอยู่ภายใต้ home directory อยู่แล้วจึงเปรียบเสมือน directory ธรรมดา ๆ อันหนึ่ง เพราะงั้น มันจึงไม่จำเป็นที่จะต้องใช้ admin privilege ในการที่จะวาง file ลงไปยัง local app directory (ซึ่งความจริงเอาไปวางที่ไหนใน home directory ก็เหมือนกันล่ะ) เจ้า Mac Guard มันเลย copy เอาตัวเองลงไปในนั้นได้ แต่ผมคิดว่า การที่ malware ตัวนี้จะทำงาน มันก็แกล้งทำตัวเป็น fake installer ถามให้เราใส่ admin account ตอนนี้อยู่ดีนั่นแหละ ดังนั้นถ้าเราไม่ไปกรอก admin info เข้าไปตอนนี้ก็น่าจะปลอดภัย และ malware ตัวนี้ก็จะยังทำงานไม่ได้อยู่ดีน่ะแหละ พูดง่าย ๆ ก็คือระบบมันก็ยังน่าจะปลอดภัยตราบใดที่เราไม่ไปหลงกลคลิก/install มัน

ตราบใดที่มันยังไม่มี malware/virus ตัวที่สามารถ execute ตัวมันเองได้และแพร่ตัวมันเองได้อย่าง windows ถ้า user ไม่ไปกรอกข้อมูล admin มั่ว ๆ Mac OS X/Unix มันก็ยังปลอดภัยมาก ๆ อยู่ดีนั่นแหละครับ

ละเอียดยิบครับ +1 virus

bongikairu Fri, 27/05/2011 - 03:10

ละเอียดยิบครับ +1

virus ปกติต้องแพร่ตัวเองได้ครับ เช่นไวรัสแฟลชไดรว์ แต่ปกติคนก็เรียกรวม malware ทุกชนิดเป็นไวรัสหมดแหละครับ