Антивирусный вендор F-Secure (Финляндия) сообщил о том, что он смог обнаружить новый вредоносный код, написанный под операционную систему Mac OS X. Выяснилось, что он использует поддельную систему инсталляции в ОС и маскируется под стандартные файлы системы.
В нем задействована специальная символика Юникода в названии файла, что и позволяет вредоносу отображаться в системе как стандартному документальному файлу. Если ОС вашего компьютера не поддается восстановлению, зайдите сюда, именно здесь без проблем и недорого можно приобрести новый системный блок и не только.
В Mac OS X приходится выявлять типы файлов не по разрешению, а по начальной последовательности структуры. Но специальный трюк в Юникоде позволяет обмануть и такой подход к работе по выявлению вредоносных файлов. Технически, истинную природу файла легко узнать в терминале Mac OS X, но почти все пользователи этой операционной системы не пользуются им для навигации по файловой системе. Именно эти пользователи и были обмануты злоумышленниками, которые добавляли в название символ Юникода U+202e и прятали истинное расширение .app приложения, подставляя вместо него .doc или .trf. Благодаря этому, в операционной системе файл детектировался как текстовый, но не терял бинарно-вредоносной природы.
В вендоре F-Secure отметили, что данный метод является оригинальным. Они уже передали все имеющиеся данные в Apple, чтобы у разработчика была возможность сделать нужные механизмы защиты. Уже известно, что частично против такой атаки помогает система Gatekeeper, встроенная в ОС МАС.