Второй взлом инфраструктуры BitTorrent-клиента Transmission
По предварительным данным, подмена была осуществлена в результате взлома сервера проекта, произошедшего 28 августа. Для предотвращения подобных инцидентов в будущем разработчики перенесли компоненты сайта и все бинарные файлы с собственных серверов на GitHub. В дальнейшем все бинарные архивы и сайт (включая, контрольные суммы) будут разнесены в разные репозитории. Содержимое всех серверов проекта будет перенесено на новые системы.
Поражённый вредоносным ПО пакет был заверен корректной цифровой подписью на основе сертификата, выданного компанией Apple, но не принадлежащего проекту Transmission, что позволило обойти защиту Gatekeeper. Вредоносное ПО распространялось через архив Transmission2.92.dmg, в то время как оригинальные сборки Transmission поставлялись в файле Transmission-2.92.dmg. Определить внедрение вредоносного ПО можно по наличию активных процессов icloudproc, License.rtf, icloudsyncd и /usr/libexec/icloudsyncd -launchd netlogon.bundle. Для очистки системы необходимо завершить эти процессы в Activity Monitor, после чего удалить следующие файлы и директории:
- /Library/Application Support/com.apple.iCloud.sync.daemon/
- /Library/LaunchAgents/com.apple.iCloud.sync.daemon.plist
- /Users/$USER/Library/Application Support/com.apple.iCloud.sync.daemon/
- /Users/$USER/Library/Application Support/com.geticloud/
- /Users/$USER/Library/LaunchAgents/com.apple.iCloud.sync.daemon.plist
- /Users/$USER/Library/LaunchAgents/com.geticloud.icloud.photo.plist
После этого нужно удалить Transmission и установить корректную сборку, проверив её по контрольной сумме.
Источник: http://www.opennet.ru/opennews/art.shtml?num=45082
|
|
0 | Tweet | Нравится |
|
