المصدر: الصحافة المرتبطةفي الحالة العادية ، يبدأ اكتشاف برنامج ضار من أي نوع بعد الكشف عن إحدى شركات مكافحة الفيروسات بواسطة برنامج مكافحة الفيروسات لشركات أخرى خلال يوم أو يومين (إن لم يكن عدة ساعات). في الآونة الأخيرة ، تم اكتشاف أن فيروس Mac ، الذي تم العثور عليه قبل أربعة أشهر ، لا يزال غير مكتشف بواسطة برنامج مكافحة الفيروسات - لا شيء سوى Kaspersky و ZoneAlarm.
وفقًا لخبراء أمن المعلومات ، فإن Windshift (الاسم الذي يطلق على البرامج الضارة) هو مشروع لمجموعة جرائم الإنترنت من الشرق الأوسط. تم تحدث الفيروس مرارًا وتكرارًا ، على سبيل المثال ،
هنا وهنا .
في الأسبوع الماضي ،
نشر أخصائي أمن معلومات MacOS ، باتريك وارد
، تحليلاً مفصلاً للبرامج الضارة. لدراسة الفيروس ، قام الخبير بتثبيته ، وفحص على الفور مدى قدرة أنظمة مكافحة الفيروسات على مواجهة الخطر. كما اتضح فيما بعد ، فإن Kaspersky و ZoneAlarm فقط هم "المألوفون" بهذه البرامج الضارة ؛ والشركات الأخرى لا تعرف شيئًا عنها.
اكتشف خبراء ، أن Apple على دراية بالبرامج الضارة أيضًا ، لأن الشهادات الرقمية التي تم توقيع البرنامج عليها قد ألغيت (CSSMERR_TP_CERT_REVOKED). ومع ذلك ، بعد التحقق من خدمة VirusTotal ، التي يتم من خلالها تشغيل الملفات ذات الصلة بالبرامج الضارة ، اتضح أنه لم يتم اكتشافها تقريبًا. في معظم الحالات ، لم تكتشف الخدمة أي مشاكل - حدد موفران فقط لحلول مكافحة الفيروسات وجود برامج ضارة.
قد يشير كل هذا إلى أن Apple لا توفر لمطوري برامج مكافحة الفيروسات تعريفات للبرامج الضارة. يعد توفير هذه البيانات ممارسة شائعة (قد يقول المرء روتينًا) في عالم برامج مكافحة الفيروسات. يساعد تبادل هذه البيانات الخدمات وبرامج مكافحة الفيروسات على معرفة كيفية تحديد وجود برامج ضارة جديدة بسرعة. إذا لم يقدم أحد معلومات حول هذا الموضوع ، فعندئذ لا يعرف مطورو برامج مكافحة الفيروسات أي شيء عن البرامج الضارة.
مبدأ تشغيل البرمجيات الخبيثة نفسها بسيط للغاية. في البداية ، يتم إرسال رسائل البريد الإلكتروني المخادعة إلى الضحايا المحتملين. أنها تحتوي على عنوان URL للصفحة مع ملف .zip الذي يحتوي على برامج ضارة. بمجرد اكتمال تنزيل الملف ، تحاول البرامج الضارة البدء في استخدام عنوان URL مخصص ، وهو أمر يصعب القيام به. أثناء محاولة الانتقال إلى عنوان URL هذا ، تقدم صفحة مفتوحة بالفعل يتم تحميل البرامج الضارة منها طلبًا لتثبيت برنامج تابع لجهة خارجية. بعد التثبيت ، يتم تشغيل البرامج الضارة على النظام ، مما يوفر استبدال عناوين URL للصفحات العادية.
بالمناسبة ، إذا كان مالك النظام المصاب متصلاً بشبكة محلية ، فإن البرامج الضارة تخترق تلقائيًا الأجهزة الأخرى المتصلة بالشبكة نفسها.
الآن أصبح الفيروس غير ضار تقريبًا ، نظرًا لأن الخوادم التي تم الوصول إليها قد تم إلغاء تنشيطها ولا تعمل. بالإضافة إلى ذلك ، تعرض أحدث إصدارات متصفح Safari إشعارًا إذا تم تمكين نظام URL مخصص. وإذا قرر المستخدم المتابعة ، يتم تنشيط ميزة أمان Gatekeeper ، والتي ستتيح لمالك نظام التشغيل Mac معرفة أن نظامه يحاول تثبيت نوع من الملفات.
منذ وقت ليس ببعيد ، حاول صحفيون من العديد من المنشورات اكتشاف ما قامت به الشركة من أبل للقضاء على هذا التهديد. ردت الشركة بأن المشكلة قد تم حلها ولن تكون مناسبة لمستخدميها. ومع ذلك ، ليس من الواضح ما الذي تم فعله بالضبط ولماذا لا تقدم Apple بيانات تهديد لخدمات مكافحة الفيروسات. قد يتكرر هذا الموقف مع البرامج الضارة الأخرى ، وليس فقط Windshift ، لذلك يصعب شرح هذا السلوك من جانب الشركة فيما يتعلق برعاية مستخدميها.
يعد تبادل بيانات البرامج الضارة بين المؤسسات الفردية التي تكافح الفيروسات ذا أهمية كبيرة لأمن المعلومات. إذا لم تتبادل الشركات ، فإن العمل العادي المتمثل في تحديد البرامج الضارة الخطيرة والقضاء عليها سيكون مستحيلاً. لسوء الحظ ، لا تقدم Apple معلومات حول كيفية مشاركتها في برامج تبادل البيانات بين المتخصصين في مكافحة الفيروسات. نتيجة لذلك ، مثل هذه الحالات أصبحت ممكنة.