Нa прoшлoй нeдeлe aмeрикaнскaя исслeдoвaтeльскaя кoмпaния   Palo Alto Networks обнаружила целое семейство вредоносного ПО, именуемое  
WireLurker. По их мнению, это самая успешная кибератака на iOS-устройства. За последние   полгода зараженные вирусом 467 приложений были загружены более 350 000 раз. Как только данная угроза была обнаружена, специалисты из   Palo Alto Networks связались с Apple и предоставили детальный отчет. Компания Apple подтвердила обнаружение угрозы и заблокировала работу вредоносных приложений.

Во всем мире платформа   iOS ассоциируется с безопасностью и стабильностью, во многом благодаря наличию закрытого магазина приложений с обязательной модерацией и сертификацией каждого нового приложения. Ранее различного рода взломы и инфицирования могли происходить лишь с устройствами, подверженными джейлбрейку. Почему возникла подобная ситуация в наше время? Ответ прост — китайские сторонние   магазины приложений, построенные по принципу Google Play: отсутствие модерации, большое количество низкокачественного контента и наличие вирусов. Все это является залогом успешного инфицирования.

Скачав подобное зараженное   приложение из китайского магазина приложений   Maiyadi   на свой компьютер с установленной OS X, вы фактически превращаете его в бомбу замедленного действия. WireLurker выжидает момент, когда к компьютеру посредством USB будет подключено iOS-устройство (iPhone или iPad).   Затем вирус устанавливает вредоносное приложение на iOS-девайс или переписывает код существующих программ, пользуясь уязвимостью в системе распределения корпоративного ПО. При этом до конца неизвестно, для чего и как использовался злоумышленниками данный   вирус.

Однако не стоит сильно переживать. Есть несколько простых и быстрых методов проведения профилактики для выяснения, заражено ли ваше устройство или нет, и удаления вирусного ПО. Если вы используете iOS-девайс с джейлбрейком, то вам следует выполнить ряд простых действий:

Зайти в Cydia и установить самый популярный   файловый менеджер   iFile, который доступен бесплатно.

Открыть папку Library > MobileSubstrate > DynamicLibraries.

Если в этой папке вы обнаружите файл sfbase.dylib, значит, устройство заражено WireLurker. После обнаружения вируса вам необходимо удалить файл   sfbase.dylib, а затем перезагрузить ваш смартфон или планшет. Если вы весьма параноидально относитесь к этому вопросу, то полная переустановка точно поможет вам завершить удаление зловредного ПО.

Если же вышеупомянутый файл на устройстве обнаружен не был, можете быть спокойны за безопасность ваших данных.

Если вы используете устройство без джейлбрейка:

Зайдите в «Настройки» > «Основные» > «Профиль». Если у вас нет такого пункта меню, смело можете пропускать следующий этап — вируса на вашем девайсе нет.

Если же меню «Профиль» вам доступно, то   необходимо найти корпоративный профиль PPAppInstaller. Если он установлен на вашем устройстве, его следует удалить. Это заблокирует работу вируса. Для полного удаления вируса рекомендуется переустановить систему.

Ну и самое главное   —   как найти и удалить WireLurker на OS X. Для начала вам необходимо открыть   приложение «Терминал.app». В него нужно скопировать, а затем выполнить (нажать клавишу Enter) следующую команду:

curl -O https://raw.githubusercontent.com/PaloAltoNetworks-BD/WireLurkerDetector/master/WireLurkerDetectorOSX.py

Затем вам необходимо выполнить еще один простой скрипт:

python WireLurkerDetectorOSX.py

Далее начнется сканирование системы на наличие данного вируса. После завершения сканирования, если вирус не был обнаружен, «Терминал» выдаст вам   сообщение «Your OS X system isn’t infected by the WireLurker». Если же данное сообщение не появилось, то ваше устройство инфицировано. Вам необходимо открыть папку   Macintosh HD > Library > LaunchDaemons и удалить следующие файлы:

com.apple.machook_damon.plist

com.apple.globalupdate.plist

com.apple.watchproc.plist

com.apple.itunesupdate.plist

В папке Macintosh HD > System > Library > LaunchDaemons необходимо   удалить:  

com.apple.appstore.plughelper.plist

com.apple.MailServiceAgentHelper.plist

com.apple.systemkeychain-helper.plist

com.apple.periodic-dd-mm-yy.plist

А   в папке usr/bin удалить WatchProc:

itunesupdate

com.apple.MailServiceAgentHelper

com.apple.appstore.PluginHelper

periodicdate

systemkeychain-helper

stty5.11.pl

После этого необходимо перезагрузить компьютер. По результатам данной очистки ваш Mac будет избавлен от этого опасного программного обеспечения. И помните, всегда пользуйтесь официальными магазинами приложений. Это убережет вас от подобных неприятностей.