Sumber: PROS ASOSIASIDalam situasi normal, malware dalam bentuk apa pun setelah pendeteksian salah satu perusahaan anti-virus mulai terdeteksi oleh perangkat lunak anti-virus perusahaan lain dalam satu atau dua hari (jika tidak beberapa jam). Baru-baru ini ditemukan bahwa virus untuk Mac, yang ditemukan empat bulan lalu, masih belum terdeteksi oleh perangkat lunak antivirus - hanya Kaspersky dan ZoneAlarm.
Menurut para pakar keamanan informasi, Windshift (nama yang diberikan untuk malware) adalah proyek dari kelompok kejahatan dunia maya dari Timur Tengah. Virus telah berulang kali diucapkan dan ditulis, misalnya, di
sini dan di
sini .
Pekan lalu, spesialis keamanan informasi MacOS Patrick Wardle
menerbitkan analisis terperinci dari malware tersebut. Untuk mempelajari virus, ahli menginstalnya, dan segera memeriksa seberapa baik sistem antivirus mengatasi bahaya. Ternyata, hanya Kaspersky dan ZoneAlarm yang "akrab" dengan malware ini, perusahaan lain tidak tahu apa-apa tentang itu.
Apple, para ahli menemukan, juga akrab dengan malware, karena sertifikat digital yang ditandatangani oleh perangkat lunak telah dicabut (CSSMERR_TP_CERT_REVOKED). Namun, setelah memeriksa layanan VirusTotal, di mana file yang terkait dengan malware dijalankan, ternyata hampir tidak terdeteksi. Dalam kebanyakan kasus, layanan ini tidak mendeteksi masalah apa pun - hanya dua penyedia solusi anti-virus yang mengidentifikasi adanya malware.
Semua ini dapat mengindikasikan bahwa Apple tidak memberikan definisi malware kepada pengembang antivirus. Menyediakan data ini adalah praktik umum (bahkan bisa dikatakan rutin) di dunia perangkat lunak antivirus. Pertukaran data ini membantu layanan dan perangkat lunak antivirus untuk dengan cepat belajar menentukan keberadaan malware baru. Jika tidak ada yang memberi informasi tentang ini, maka pengembang anti-virus tidak tahu apa-apa tentang malware.
Prinsip pengoperasian malware itu sendiri cukup sederhana. Awalnya, pesan email phising dikirim ke calon korban. Mereka berisi URL halaman dengan file .zip yang mengandung malware. Setelah unduhan file selesai, malware mencoba untuk mulai menggunakan URL khusus, yang tidak terlalu sulit untuk dilakukan. Selama upaya untuk membuka URL ini, halaman yang sudah terbuka dari mana malware dimuat membuat permintaan untuk menginstal perangkat lunak pihak ketiga. Setelah instalasi, malware berjalan di sistem, menyediakan substitusi URL untuk halaman reguler.
Omong-omong, jika pemilik sistem yang terinfeksi terhubung ke jaringan lokal, malware secara otomatis menembus perangkat lain yang terhubung ke jaringan yang sama.
Sekarang virusnya hampir tidak berbahaya, karena server yang diaksesnya dinonaktifkan dan tidak berfungsi. Selain itu, versi browser Safari terbaru sekarang menampilkan pemberitahuan jika sistem URL khusus diaktifkan. Dan jika pengguna bahkan memutuskan untuk melanjutkan, fitur keamanan Gatekeeper diaktifkan, yang akan membuat pemilik Mac tahu bahwa sistemnya sedang mencoba untuk menginstal beberapa jenis file.
Belum lama ini, wartawan dari beberapa publikasi mencoba mencari tahu dari Apple apa yang telah dilakukan perusahaan untuk menghilangkan ancaman tersebut. Korporasi menjawab bahwa masalahnya telah teratasi dan tidak lagi relevan bagi penggunanya. Namun, tidak jelas apa yang sebenarnya telah dilakukan dan mengapa Apple tidak memberikan data ancaman ke layanan antivirus. Mungkin saja situasi ini diulangi dengan malware lain, dan bukan hanya Windshift, sehingga garis perilaku perusahaan ini sulit dijelaskan dalam hal merawat para penggunanya.
Pertukaran data malware antara organisasi individu yang melawan virus sangat penting untuk keamanan informasi. Jika perusahaan tidak bertukar, kerja normal mengidentifikasi malware berbahaya dan menghilangkannya akan menjadi mustahil. Sayangnya, Apple tidak memberikan informasi tentang bagaimana ia berpartisipasi dalam program pertukaran data antara spesialis anti-virus. Akibatnya, situasi seperti ini menjadi mungkin.