Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 284 reacties, 56.995 views •

Meer dan 600.000 Mac-systemen zijn besmet met de Flashback-trojan, die wachtwoorden en andere persoonlijke gegevens onderschept, claimt een Russisch beveiligingsbedrijf. In Nederland zou het om een klein percentage gaan.

De Flashback-trojan werd in september 2011 ontdekt. De malware installeert code in browsers en programma's als Skype en kan daarna wachtwoorden en gevoelige data onderscheppen. Aanvankelijk deed de kwaadaardige software zich voor als installer voor de Flash-speler van Adobe, maar BackDoor.Flashback.39 maakt sinds kort ook gebruik van JavaScript om applets met exploits te verspreiden. Apple bracht woensdag een patch uit voor een lek in Java dat de malware uitbuit. 

Bij het bezoeken van een site met de malware wordt een Mac-gebruiker om een beheerderswachtwoord gevraagd. Voert de gebruiker dit in, dan installeert Flashback code in de applicatiemap. Zonder administrator-wachtwoord probeert de trojan zich op andere manieren in het systeem te nestelen.

Het aantal besmette Mac-systemen stijgt snel, afgaande op de claims van het Russische beveiligingsbedrijf Dr.Web. Dat sprak aanvankelijk van 550.000 besmettingen, maar laat via Twitter weten dat het meer dan 600.000 infecties betreft. Het merendeel, 57 procent, zou zich in de VS bevinden en Dr.Web zou 274 besmettingen naar Cupertino hebben weten te herleiden. Nederland zou 0,2 procent van het totale aantal infecties voor zijn rekening nemen. F-Secure meldt hoe de malware gevonden en verwijderd kan worden.

Reacties (284)

Reactiefilter:-12840260+1173+24+31
Moderatie-faq Wijzig weergave
Dit is de korte versie:

Start de terminal en voer deze twee regels uit:

defaults read /Applications/Safari.app/Contents/Info LSEnvironment
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

Als je voor beide regels iets terug krijgt met "does not exist" zit je goed. :)
Die eerste regel test specifiek Safari, volgens mij?

Ik zou in dat regeltje ook even Safari.app door Firefox.app vervangen bij gebruik van Firefox.

Of %browser%.app kiest volgens mij je default browser.
Hier is de wat langere versie met meer details erover:

http://www.f-secure.com/v...der_osx_flashback_i.shtml
Staat al in het artikel... :+
Thanks, gelijk even getest! Niets aan de hand hier gelukkig.
Danku zeer, hier ook niks aan de hand!
Om snel te controleren of je besmet bent:
(In Terminal)

defaults read /Applications/Safari.app/Contents/Info LSEnvironment
Als je niet besmet bent krijg je dit antwoord;

2012-04-05 20:56:40.013 defaults[298:707]
The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist

Daarna:

defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

Als je niet besmet bent krijg je dit antwoord;

2012-04-05 20:57:14.432 defaults[300:707]
The domain/default pair of (/Users/burger_ph/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist

Bronhttp://www.f-secure.com/v...der_osx_flashback_i.shtml
Ik snap ook niet (ook niet in Windows) dat iemand op het idee komt om bij een website het beheerderswachtwoord te geven dan wel de Windows UAC weg te klikken. Maar waarschijnlijk is de website zˇ belangrijk voor die persoon dat deze vraag ondergeschikt is.
Meeste scareware onder Windows vragen ook niet om een paswoord als UAC aanstaat. Ze nestelen zich dan gewoon minder diep in het gebruikersprofiel en niet in het systeem.

Voordeel hiervan is dat het makkelijker te verwijderen is, maar scareware makers gaan er van uit dat de gemiddelde computer gebruiker dat niet doorheeft.

Als de UAC uitstaat... tja dan ben je in meeste gevallen het beste af met een format. :)
Het probleem is dat ik als poweruser wel een beetje ziek wordt van die UAC meldingen, maar moet het wel aan laten staan ivm veiligheid idd.
Met Linux is het nog erger, mag je de hele tijd een wachtwoord gaan invoeren...
Daarnaast draai ik ook nog Comodo die ook waarschuwingen geeft als een programma je pc over wil nemen.
Dus leuk al die beveiligingen, maar ook zeer irritant.
Tja,

Een slot op de voordeur is eigenlijk ook vervelend; gewoon naar binnen lopen is een stuk prettiger. En iedere keer de gordel omdoen als je in de auto stapt ... ook niet fijn!

Overigens is UAC in Windows 7 wat mij betreft heel gebruiksvriendelijk geworden; niet meer de 'overdreven' melding-frequentie zoals die in Vista aanwezig was.
Wat doe je dan als je onder Linux constant je wachtwoord moet invoeren?
Ik schaar mezelf ook onder de power users en heb alleen mijn beheerderswachtwoord nodig bij installeren/updaten/deinstalleren of als ik systeeminstellingen wil veranderen.
Bijna nooit dus.

Het VPN wachtwoord van mijn werk daaraantegen heb ik dagelijks nodig
Zelfde geldt voor mensen die pincodes via telefoon overhandigen. Er zijn teveel goedgelovige mensen in de wereld. Plus het promopraatje dat Macs nooit last hadden van virussen.
EIgenlijk is dat promo-praatje vooral heel kwalijk. Veel mensen geloven het werkelijk namelijk, en dat zijn ook die mensen die gewoon hun wachtwoord invullen. En omdat ze heilig in het promo-praatje geloven ook geen anti-virus of wat dan ook ge´nstalleerd hebben.
Als de mallware je wachtwoord nodig heeft is het een trojan en geen virus.
Geen last van virussen klopt dus, geen last van mallware is bullshit gezien de mens nog altijd de zwakste schakel is
De malware heeft geen wachtwoord nodig, alleen maak je 'm er wel erg blij mee, omdat de besmetting dan systeemwijd kan plaatsvinden, onder alle accounts... Zonder wachtwoord werkt het alleen op jouw eigen account(Mits deze natuurlijk niet gepatcht is)... Dus volgens jou redenatie is het wel een virus...
Eens in de zoveel tijd komt er een flash update langs. De gemiddelde gebruiker denkt dan: ok, paswoord invullen en browser herstarten. Als een stukje software zich hetzelfde gedraagt is het onderscheid heel moeilijk te maken.

Het update mechanisme van flash moet misschien veranderen.
Dit is in de laatste versie van Flash aangepast. Althans je kunt kiezen om de updates automatisch te installeren.
Zonder administrator-wachtwoord probeert de trojan zich op andere manieren in het systeem te nestelen.

Even beter lezen en je had je comment achterwege kunnen laten.
Heel veel mensen denken gewoon helemaal niet na als ze een schermpje voor hun neus krijgen voor het administrator password. Bijna als automatische reactie typen ze het password in.

Maar raar is het wel. Stel dat je buiten op straat loopt en een willekeurig iemand vraagt "Mag ik even de sleutel van de voordeur?". Dat zouden mensen dan weer niet zomaar doen, terwijl het eigenlijk op hetzelfde neerkomt.

[Reactie gewijzigd door jj71 op 5 april 2012 10:25]

De relatieve virusvrijheid kon mac gebruikers nog wel eens zuur komen te staan. De eerste virussen waren vrij onschuldig (vaak alleen een proof of concept) en werd er door de meeste mensen lang niet zoveel belangrijke informatie aan de PC toevertrouwd. Die dreiging is langzaam gegroeid en de meeste gebruikers waren zich daar bewust van.

Mac gebruikers hebben altijd te horen gekregen dat ze zich veilig kunnen voelen en worden nu binnenkort denk ik in het diepe gegooid.


"BackDoor.Flashback.39 maakt recent ook gebruik van JavaScript om applets met exploits te verspreiden"

Moet dat niet Java zijn?
Ik hoop dat geen enkele OS X gebruiker ooit dacht dat hij veilig was voor virussen ? Het is helemaal niet de software die het moeilijker maakt om virussen te krijgen, louter het gebrek aan interesse van "hackers".

Aangezien het marktaandeel van OS X stijgt zullen er ook steeds meer virussen ontstaan, maar omdat het nog steeds een "elite-markt" is zal dit beperkt blijven in verhouding tot Windows.

(Stel je gewoon zelf in de plaats van iemand die virussen maakt : wil ik een markt van 80-90 % of een markt van 9-10 %...)
Ik hoop dat geen enkele computer gebruiker denkt dat hij veilig was voor virussen. Met of zonder virusscanner. Zelfs met een virusscanner loop je altijd achter de feiten aan.
Toch is het wel een dubieuze claim dat alleen de marktpentratie is wat het risico bepaald: dit lijkt toch echt niet ondersteund te worden door data van vergelijkbare systemen...
Omdat Mac populairder wordt zal t maken van een virus ook 'aantrekkelijker' worden. Ik vermoed zelf alleen dat ze een andere hoek gaan pakken namelijk de mobiele sector..
Vroeg mij dat laatste ook af ... verwarring tussen Java en Javascript door OP?
De relatieve virusvrijheid kon mac gebruikers nog wel eens zuur komen te staan.
Apple is zich dat terdege bewust!

Het is niet voor niets dat ze bij elke nieuwe OSX release steeds minder third-party software standaard installeren. Zo kwam 10.6 zonder Flash en 10.7 zonder Java.

Sandboxing (10.7) en codesigning (10.8) zijn ook maatregelen om te voorkomen dat gebruikers schade ondervinden van malafide software.
Ik snap nooit zo goed waarom mensen dit doen? Is het om een punt te maken? Of gewoon echt alleen maar om mensen te zieken?
Geld. Daar draait het om, allang niet meer om te zieken.
Tijd dat alle Apple gebruikers antivirus programma's installeren denk ik...
Tijd dat alle Apple gebruikers antivirus programma's installeren denk ik...
Anti-virus is sowieso dikke onzin, dat draai ik op geen enkel OS, want dat kost me teveel resources (het vertraagd mijn machine). Ook kan elke zichzelf respecterende virus-bakker met een simpele handeling zijn 'creatie' opnieuw packagen zodat de hash niet meer klopt. Ik borg mijn veiligheid op deze manieren:
  • Ik gebruik een hardwarematige firewall
  • Ik gebruik overal full-disk encryption (o.a. voor veiligheid bij diefstal)
  • Ik draai nergens als admin
  • Ik gebruik AdBlock Plus (tegen gekaapte adservers, ook op legitieme websites!), Ghostery en een zeer tolerant afgestelde NoScript addon om bepaalde scripts te weren. Dit alles tegen drive-by malware die niet van het bezochte domein wordt geserveerd.
  • Ik gebruik HTTPS-Everywhere, sowieso tegen onderschepping, maar ook om session hijacking (zoveel mogelijk) te voorkomen doordat er geen HTTP naar HTTPS omzetting hoeft plaats te vinden (MitM niet meer mogelijk zonder proxy met fake certs)
  • Ik hou software als Java en Flash zo veel mogelijk up-to-date, net als mijn browsers, en op machines waar het niet nodig is verwijder ik ÚÚn of beide pakketten.
Naar mijn idee ben ik veiliger dan de gemiddelde gebruiker die wel een virusscanner heeft, maar niks van bovenstaande. Eens in de zoveel tijd draai ik een statische scan met Clam(X)AV, maar die heeft nog nooit iets gevonden.

[Reactie gewijzigd door Rick2910 op 5 april 2012 10:11]

-Hardware matige firewall
Zegt niks over virussen en wormen
-Disk encrytion
Idem, als je systeem besmet is maakt die vrolijk gebruik van de leesroutines die nodig zijn om je encrypted data te lezen
-Niet als admin draaien
Helpt een beetje maar is geen wondermiddel.
-Adblock plus
Idd erg handig maar ook niet zaligmakend
-Https
Ook maar een schijn als je je realiseert hoe vernuftig sommige malware in elkaar steekt en dat https niet waterdicht is
-Java/Flash Up to date houden:
Dat is altijd een goed idee.

Desondanks is het een kwestie van een keer met usb stick naar een besmette computer lopen en dan weer in je eigen systeem prikken. Je handelt zonder meer veilig maar zonder virusscanner draaien blijft een groot risico, iig op windows 7. En windows is tegenwoordig helemaal niet zo slecht beveiligd
-Hardware matige firewall
Zegt niks over virussen en wormen
Tuurlijk wel. Je krijgt een drive-by download te pakken en die gaat vervolgens op een extern adres de payload downloaden. Als je je firewall regels (en evt. IP-ranges) goed instelt kun je hiermee een infectie in de kiem smoren, ook al is je OS vatbaar voor een exploit.
Verder draai ik geen Windows (alleen OSX en Linux) en check ik onbekende USB of externe media altijd eerst op een dedicated machine. Oveirgens is OSX soms nog wat erger dan Windows qua auto mounten van externe media, en dat is wel jammer voor de veiligheid in mijn ogen.

[Reactie gewijzigd door Rick2910 op 5 april 2012 11:19]

Met automatisch mounten worden er nog geen bestanden geopend ... dus niks aan de hand.
Je punt van opnieuw packagen, zodat de hash niet meer klopt, raakt kant noch wal... Virusscanners kijken niet alleen puur naar een hash, ook verdacht gedrag, verborgen streams, gekke stukjes code, enz. worden geanalyseerd en zo mogelijk als onveilig bestempeld... Als het zo simpel was als wat hashes vergelijken, zouden virusscanners niet zoveel resources nodig hebben...

Het is goed te zien dat jij je best doet om virussen en andere rommel buiten de deur te houden, maar het grootste deel van je punten kan je gewoon niet verwachten van een huis-tuin-en-keuken-gebruiker...

Hoeveel mensen zie jij een hardwarematige firewall voor thuis aanschaffen??? Mensen maken gewoon gebruik van het standaard modem die ze van hun provider hebben gekregen, waarvan ze niet eens het gegenereerde en op de onderkant geplakte wachtwoord veranderen...

Hoeveel mensen zullen encryption gebruiken??? Dat is alleen maar lastig, want je moet dan iedere keer je wachtwoord intypen...

Hoeveel mensen installeren XP zonder Řberhaupt maar een wachtwoord in te stellen??? Dat account heeft altijd standaard admin rechten, zonder dat de gemiddelde gebruiker dat weet.. En zonder admin rechten op je thuisPC werken??? Dat doet niemand...

Ik gebruik ook de meeste plugins die je meld, maar de gemiddelde consument gebruikt gewoon IE, hŔ??

Het updaten van software is ook weer zo'n actie die iets verlangd van een gebruiker en die ook nog eens tijd kost... Hoeveel gebruikers klikken niet direct de melding van een update weg, omdat ze daar op dat moment geen zin in hebben??? Je zult schrikken hoeveel mensen rustig een half jaar geen updates laten installeren... en dan daarna verbaast zijn dat de installatie volledig aan gort is...

En het allermooiste, de eerdere versie van deze malware deed zich dus juist voor als een Adobe updater... Dus mocht de gebruiker al zo slim zijn om zijn software te laten bijwerken als hij een melding krijgt, is hij alsnog de pineut...
Hoe het tegenwoordig op Windows zit weet ik niet, maar op Linux en OSX ben je bij mijn weten nooit admin, ook niet default. Je verhoogt je rechten dan tijdelijk middels het admin-password bij acties die het vereisen, zoals een install.
De punten die je aanhaalt zijn absoluut waar, maar geen enkel OS kan zich weren tegen domme gebruikers. En de plugins die ik noem, die stel ik nog wel eens in bij mensen die totaal geen verstand van hun OS hebben. Ze hebben er ook geen last van en er wordt geen actie van ze verwacht, dus dat zit wel goed.
Verder gaat steeds meer software zichzelf automatisch updaten (Flash, Firefox, Chrome enz) wat ik wel een goede ontwikkeling vind. 99 van de 100 computergebruikers is sowieso niet vaardig genoeg om de impact van een update (of wat de Řberhaupt doet) in te schatten, dus dan kun je ze net zo goed automatisch doorduwen.
We zijn het behoorlijk met elkaar eens... Ja, gelukkig kunnen wij als "experts" voor de meeste mensen het grootste gedeelte van het risico wegnemen... Maar dan blijven we inderdaad afhankelijk van hoe de gebruiker ermee omgaat... Bijvoorbeeld IE en Firefox, hoeveel mensen ken jij wel niet die gewoon iedere browser "de explorer" of "het internet" noemen?? ;)

Ik was inderdaad blij verrast toen ik laatst Flash bijwerkte en de optie van automatisch bijwerken zag staan... Ik moet alleen nog even een keer testen of dit dan dus ook zonder admin rechten werkt, want dan gaat het mij op kantoor ook ontzettend veel tijd schelen... Probleem met automatische updates is dat deze updates dan wel 100% goed moeten werken... En dat is heel lastig met alle verschillende systemen met nog meer verschillende installaties en voorkeuren... Bekend met de KB928416 installatie probleem toevallig?? Daar ben ik ook wel eens 2 dagen mee bezig geweest om te herstellen... ;)

Op een Windows systeem is de eerste gebruiker die je aanmaakt(Tijdens de setup dus) bij default admin en het echte "Administrator" account is disabled... Bij het aanmaken van volgende accounts kan je met een simpele klik aangeven of je standaard gebruiker of admin bent, volgens mij staat deze keus default op standaard gebruiker...
Maar wat maakt het nu uit of je handmatig je password invoert, of auto install doet?
Zelf staat alles ook altijd op "notice before download/update" hier, maar logisch beredenerend maakt het imo niet uit, of je zelf het password invoert, of dit laat gebeuren.
Als iets zo goed nagemaakt is, dat jij als user ook denkt: "updaten maar", dan ben je toch de haas, wat voor OS je ook draait. Met de *nix OS'en ben je dan eigenlijk nog onveiliger, omdat je niks verwacht (net zoals door groen rijden, oververzekerd zijn in alles, je kunt toch gewoon de pijp uit gaan- ondanks al je maatregelen en groene lichten.)
Nu is het wel zo dat op MacOS Little Snitch meedraait, een erg handige app die alle uitgaand verkeer blockt, zonder toestemming. In Ubuntu kun je "Firestarter" installeren, waarmee je ook makkelijk uitgaand verkeer kunt blocken en gelijk het socket ziet etc.

Naar mijn idee zijn updates pas veilig, als er een certificaat wordt meegeleverd o.i.d.- zelf kun je nooit 100% inschatten of iets van een vertrouwde partij is, of niet.
Een site of updater is door een handy-man zo in elkaar gedraaid en je ziet zelf het verschil niet, met een secure certificaat ligt dit toch iets lastiger, lijkt mij.
Een virus is een kwaadaardig stukje code wat zichzelf kan verspreiden zonder tussenkomst van de gebruiker.

Malware is een kwaadaardig stukje code wat de gebruiker moet installeren.

Waarom zou ik een virusscanner moeten gebruiken als ik precies weet wat ik download/installeer en wat de bron hiervan is?

Denk je dat malware nieuw is? je moet het echter niet verwarren met Windows virussen.
Een worm kan zichzelf verspreiden - een virus heeft 'hulp' nodig van de gebruiker...

Als ik het goed heb was 'Code Red' een mooi voorbeeld van een worm, dat zelfstandig alle kwetsbare machines besmette binnen een dag...
Neen, ook een virus heeft de eigenschap om zichzelf te repliceren en te verspreiden zonder tussenkomst van de gebruiker. Het verschil tussen en worm en een virus is het feit dat een virus een gastheer (andere software) nodig heeft. Een worm kan zonder gastheer overleven.

Ach is het niet heerlijk die perfecte overeenkomst tussen computer en biologie?
Nee Malware is een verzamelnaam van schadelijke codes, een virus, trojan, spyware allen behoren ze tot de malware groep.
Dan hebben ze wellicht de term aangepast.
Maar in dit geval gaat het toch om een Trojan.
Tijd dat alle Apple gebruikers antivirus programma's installeren denk ik...
Alle apple gebruikers die ik ken, inclusief mijzelf, deden dat al in 2002. (al was het maar om niet per ongeluk een word macro virus door te sturen, die ze per mail binnen kregen)
Hoi, Ik ben Toby. Aangenaam kennis te maken.

Ik ben een Apple gebruiker zonder virusscanner.

Bij het lezen van dit bericht ken je nu een Apple gebruiker zonder virusscanner :P
Ik ben een Apple gebruiker zonder virusscanner.
Die zijn er niet, elke OS X heeft de virusscanner XProtect op de achtergrond draaien.

XProtect herkent overigens wel oudere varianten van de Flashback trojan, maar niet deze nieuwe.

[Reactie gewijzigd door Dreamvoid op 5 april 2012 09:29]

Al is een firewall belangrijkere anti-virussoftware dan een virusscanner natuurlijk. In dat opzicht zit de belangrijkste antivirussoftware in eigenlijk alle OS'en. Ik heb op windows ook tijden zonder virusscanner gedraaid, vergeten te installeren :P nooit een virus gehad (inmiddels wel ge´nstalleerd, maar nog nooit een virus mee gevonden).

Een virusscanner is voor windows wel belangrijker dan voor andere OS'en in het opzicht dat er meer n00bs zijn onder de windows-gebruikers, en die klikken alles aan. :+ (oke, apple-producten zijn ook redelijk populair maar de echte "ik snap niets van die kompjoeter"-mensen zitten zelden op een ander OS dan windows).

[Reactie gewijzigd door bwerg op 5 april 2012 09:23]

Grappig, iedere apple gebruiker die ik ken, inclusief mijzelf, hebben dat nog nooit gedaan.
Deze malware verwijdert zichzelf als er antivirussoftware wordt aangetroffen, dus het zou zomaar kunnen dat de maker Mac gebruikers bewust wil maken van veiligheidsproblemen op dat platform.
zal meer met het idee zijn dat de virusmaker niet wil dat de gebruiker gealarmeerd wordt en hun wachtwoorden gaan wijzigen.
Of het is gemaakt door een AV producent...

beetje vergelijkbaar met feitelijk onjuiste malware meldingen over android die regelmatig afkomstige zijn van verkopers van AV producten.
$ & Ą
deze gegevens worden doorverkocht aan criminelen...

[Reactie gewijzigd door J-roenn op 5 april 2012 08:07]

Waarschijnlijk om wachtwoorden te stelen gezien dit stukje

"waarna het wachtwoorden en gevoelige data kan onderscheppen"
Velen komen met het argument dat dit geen virus is maar virussen zijn verleden tijd lijkt mij. Wat voor nut heeft het om een systeem te infecteren om gewoon kapot te maken? Volgens mij komt dit bijna nooit meer voor.

Het is meer interessant voor cybercriminelen om systemen over te nemen (botnets) of gevoelige gegevens te stelen en misbruiken. Dat is het kraken ano nu.

De trojan vraagt eerst om een beheerders-wachtwoord, en daarna probeert het zonder administrator-wachtwoord in andere systeem plekken te komen. Je hebt het net jouw beheerders-wachtwoord gegeven dus het is niet zo moeilijk te doen tenzij je verschillende accounts heb met verschillende permissies!

Misschien moet ik me inlezen maar wat is het veschil tussen een beheerders-wachtwoord en administrators-wachtwoord op OS X?
Misschien moet ik me inlezen maar wat is het veschil tussen een beheerders-wachtwoord en administrators-wachtwoord op OS X?
Root (beheerder) can do anything, without further authentication. There is only one root account and it is disabled by default.

Zie ook: Enabling and using the "root" user in Mac OS X

An admin user can do many things without further authentication, but can become root by authenticating with his own password. There can be any number of admin users.

A standard (non-admin) user can only modify the contents of his own home folder, but can become and do admin and even root tasks by authenticating with an administrator's username and password, if he knows it.

[Reactie gewijzigd door Carbon op 5 april 2012 09:39]

Thanks voor de links :) Die beheerders-wachtwoord(root) overtreft de administrator-wachtwoord en is dus logisch dat de trojan op meedere plekken acties kan uitvoeren.

In het artikel staat dat de trojan vraagt om de beheerders-wachtwoord. Het lijkt mij niet zo dat hij vraagt naar de root-wachtwoord maar naar de ingelogde gebruikers wachtwoord dat mag su'en naar root.

Die: "Zonder administrator-wachtwoord probeert de trojan zich op andere manieren in het systeem te nestelen." is logisch voor gebruikers dat snappen dat je een applicatie de rechten net heeft gegeven om dingen aan te passen in systeem mappen.

Of ben ik een beetje in de war |:(
Het lijkt mij niet zo dat hij vraagt naar de root-wachtwoord maar naar de ingelogde gebruikers wachtwoord dat mag su'en naar root.
Helemaal correct.
De trojan vraagt om je user (edit: admin, wat bij de meeste users hetzelfde is) password - geef je dat, dan heeft het admin rechten en kan het *echt* vervelende dingen doen (keylogger installeren, rootkit, remote access, etc).
Geef je het niet, dan heeft de trojan alleen user rechten. Het kan dan alles doen wat een user normaal gesproken kan: documenten wissen, mails lezen, cookies uitlezen, etc. Ook heel onwenselijk natuurlijk. Van F-Secure:
In cases where the user did not input their administrator password, the malware checks if the following path exists in the system:

/Applications/Microsoft Word.app
/Applications/Microsoft Office 2008
/Applications/Microsoft Office 2011
/Applications/Skype.app
If any of these are found, the malware again skips the rest of its routine and proceeds to delete itself, presumably to avoid infecting a system that has an incompatible application installed.

If none of the incompatible applications are found, the malware will create the following files:

~/Library/Application Support/.%decoded_filename%.tmp - contains %decoded_binary1_contents% and %decoded_payload_config%
/Users/Shared/.libgmalloc.dylib - contains %decoded_binary2_contents%
The malware then creates a launch point by creating "~/.MacOSX/environment.plist", containing the following lines:

<key>DYLD_INSERT_LIBRARIES</key>
<string>/Users/Shared/.libgmalloc.dylib</string>
This in effect will inject binary2 into every application launched by the infected user.

For this infection type, the malware reports the successful infection to the following URL:
Normaal gesproken mag een trojan ook geen user rechten krijgen, maar door deze combinatie van Javascript en Java exploits kan dat achter de gebruiker om toch.

[Reactie gewijzigd door Dreamvoid op 5 april 2012 12:59]

De trojan vraagt om je user password - geef je dat, dan heeft het root rechten en kan het *echt* vervelende dingen doen (keylogger installeren, rootkit, etc)
Niet als het om een normaal user account gaat!
In dat geval moet de gebruiker de username:password van een admin account opgeven.
In de standaard config van OS X (die bijna elke particulier heeft) is de gebruiker admin. Als je bij de iMac van je oma kijkt, tien tegen 1 dat ze gewoon admin is.

[Reactie gewijzigd door Dreamvoid op 5 april 2012 10:27]

In de standaard config van OS X (die bijna elke particulier heeft) is de gebruiker admin.
Klopt, maar daar gaat het niet om, ik corrigeer alleen de fout van Dreamvoid
Ik vond het ook al zo raar dat het Java proces als root draait. Waarom is dat nodig? Is dat niet gewoon onveilig?
Het is een applicatie framework. Cocoa, Carbon, Libsystem, etc draaien ook als root.
Het is een applicatie framework.
De JVM is geen applicatie framework maar een proces met bepaalde rechten
Cocoa, Carbon, Libsystem, etc draaien ook als root.
Nope, de rechten van een Cocoa, Carbon ,Libsystem etc aanroep blijven beperkt tot de rechten van het proces waarbinnen de aanroep plaatsvindt.
Die frameworks zelf draaien als root. Net als de JVM. De Java applicaties draaien niet als root, net zo min als bv Cocoa applicaties. In theorie hoort de Java interpreter inderdaad geen dingen uit te voeren waar een applicatie/applet geen rechten toe heeft. Maar ja, dat is nou net het idee achter exploits, ze doen iets wat ze normaal gesproken niet mogen. In principe had zo'n soort exploit ook kunnen gebeuren als er een lek in Cocoa, CoreImage, LibSystem, etc zat ipv Java.

[Reactie gewijzigd door Dreamvoid op 5 april 2012 12:09]

Die frameworks zelf draaien als root.
Draaien? Een OSX/iOS framework is geen proces maar een bundle met dylibs, resources en headers.

Als Cocoa als root zou draaien dan zou je met de volgende aanroep het systeem trashen wat dus niet het geval is.

[[NSFileManager defaultManager] removeItemAtPath: "/System/Library/CoreServices/SystemUIServer.app/Contents/MacOS/SystemUIServer" error:NULL];

[Reactie gewijzigd door Carbon op 5 april 2012 16:01]

Waar staat dat java als root draait?
Als java als root zou draaien is er geen beheerders-wachtwoord nodig om wat te kunnen |:(
Welk OS je ook draait, er zullen altijd virussen zijn/komen... Draai zelf al jaren OS/X & Windows, maar vanaf het begin al virusscanners van Kaspersky op m'n Mac & Windows ge´nstalleerd.

Nu Mac zo populair is, was het natuurlijk wachten tot de eerste echte malware speciaal ontworpen voor Mac OS X, zich zou verspreiden. Ik snap ook niet dat Apple pretendeert dat OS X niet vatbaar is voor virussen/malware. Dat is een echt ontzettend domme uitspraak voor zo'n innovatief bedrijf.

Ik spreek ook andere OS X gebruikers erop aan, wanneer ze geen virusscanner ge´nstalleerd hebben. Beetje IT-er weet gewoon dat ELK besturingssysteem vatbaar kan zijn voor virussen/malware.

Natuurlijk is het aantal virussen/malware voor OS X een stuk minder dan bij Windows, maar een besturingssysteem die steeds populairder wordt, zal er ook steeds meer een poging tot het vergaren van gegevens e.d. van gebruikers uitgeoefend worden.

Oja, kom nou niet met: "Ik heb nooit last van virussen, want ik bekijk alleen normale sites en blablablabla.."... Want ook "normale" sites kunnen het doel zijn van een aanval van black hat hackers waardoor deze besmet wordt met een virus/malware.

*Edit: Rare zin fixed..

[Reactie gewijzigd door nickelz op 5 april 2012 08:34]

"Want ook "normale" sites kunnen het doel zijn van een aanval van black hat hackers waardoor deze besmet wordt met een virus/malware. "

Idd Nu.nl was onlangs toch besmet, maar dat zijn ze al vergeten blijkbaar.
Maar virussen en malware zijn niet hetzelfde.

Het gaat dan nu ook weer om malware wat de gebruiker zelf moet installeren.
En nee ik gebruik al 6 jaar lang geen virusscanner. En net even voor de grap gescand met ClamXav en er is helemaal niks aan de hand.

Virussen gaan zich niet minder of sneller verspreiden aan de hand van populariteit.
Maar aan de hand van architecturen en er is nog geen virus in het wild voor OSX.

Malware/Trojans is weer andere koek maar men heeft ook nog nooit beweerd dat er geen programma's bestaan met kwaadaardige code's die je kan installeren.

Het feit blijf het 2 verschillende dingen zijn en malware/trojans blijft een gebruikers issue.
Maar dit wordt al opgepakt in OSX 10.8
Het gaat dan nu ook weer om malware wat de gebruiker zelf moet installeren.
Normaal wel ja, maar met deze Java exploit is nou just geen user input nodig. Ja, het vraagt om een wachtwoord, en als dat intypt is het helemaal feest (root toegang) maar zonder wachtwoord installeert het zichzelf ook, met alleen user rechten. Dan kan het geen keylogger installeren bv, maar het kan wel bij alle documenten, emails en andere user data.

[Reactie gewijzigd door Dreamvoid op 5 april 2012 09:34]

En geen poortjes openen om naar commando's te luisteren, geen keylogger installeren, zichzelf niet verbergen, de firewall niet aanpassen, etc

Het kan bar weinig zonder beheerders-rechten.
Als ik het zo lees op f-secure kan Flashback nog behoorlijk veel. Wat het doet (als het geen admin rechten heeft) is zichzelf injecteren in andere programma's die door de user gestart worden, en heeft dan dus ook dezelfde rechten (inclusief poorten openen, data naar buiten sturen) als die programma's. Dus als je bv Cyberduck het recht op outgoing connections hebt gegeven, dan heeft deze trojan dezelfde rechten zodra hij zichzelf in dat programma heeft geinjecteerd.

[Reactie gewijzigd door Dreamvoid op 5 april 2012 11:54]

Het aantal besmette Mac-systemen stijgt snel, afgaande op de claims van het Russische beveiligingsbedrijf Dr.Web. Die sprak aanvankelijk van 550.000 besmettingen, maar laat via Twitter weten dat het meer dan 600.000 infecties betreft.
Is er nu niemand die zich afvraagt hoe Dr.Web aan die cijfers komt?
De enige manier om een schatting te kunnen maken zijn de access-logs van de besmette sites en/of toegang tot het IP adres 95.215.63.38 welke aangeroepen wordt na een geslaagde of mislukte installatie.

[Reactie gewijzigd door Carbon op 5 april 2012 09:12]

Kleine sample onderzoeken, extrapoleren naar de rest van de wereld?
Kleine sample onderzoeken,
Dat beantwoordt nog steeds niet mijn vraag hoe ze aan die gegevens komen!
Er staat inderdaad niet veel info over, maar McAfee kan toch ook redelijk aangeven hoeveel besmettingen er in the wild zijn??? Die gegevens zijn ook een schatting doordat zij weten hoe vaak hun clients 'm detecteren en dat weer berekend over het totaal...

Het zal inderdaad een schatting zijn, of mogelijk hebben ze info gekregen over het aantal hits op dat IP van de host waar deze onder valt... Of hebben ze een van de C&C servers al kunnen onderzoeken... 't Is en blijft Rusland, hŔ, het online gebeuren is daar nog net wat minder gereguleerd dan hier..

Maar het is niet eens zo belangrijk of het er al 60, 600.000 of 6 miljoen zijn, het is belangrijk dat mensen dit te horen krijgen om maatregelen te nemen...
Ik zou iedereen die steeds maar 'Mac is niet meer virus vrij "zie je wel!" ' roept willen wijzen op de volgende artikel:

http://nl.wikipedia.org/wiki/Trojaans_paard_(computers)
Een Trojaans paard is in de computerwereld een functie die verborgen zit in een programma dat door de gebruiker wordt ge´nstalleerd. Deze functie kan toegang tot de ge´nfecteerde computer verschaffen aan kwaadwillenden en zo schade toebrengen aan de computergegevens of de privacy van de gebruiker. In het jargon gebruikt men ook wel het Engelse Trojan horse of kortweg trojan. Het is genoemd naar het Paard van Troje waarin Griekse soldaten de stad Troje binnenkwamen om de poorten van de stad van binnenuit te openen.
Computervirussen die zich ongemerkt in een computersysteem nestelen en vermenigvuldigen moeten onderscheiden worden van Trojan horses. Trojaanse paarden zijn programma's die andere dingen doen dan ze voorgeven, bijvoorbeeld de computer gemakkelijker toegankelijk maken voor andere virussen of spam versturen terwijl je een spelletje speelt. Wormen zijn geen virussen maar worden wel vaak zo genoemd. Het zijn zelfstandige programma's die zich direct over het netwerk verspreiden. Als de schade pas aangebracht wordt op een vooraf bepaald tijdstip, zoals bij een tijdbom of op het moment dat de software een bepaalde - vooraf vastgelegde - verandering waarneemt, spreekt men van een logic bomb.
Ik zeg niet dat dit nooit zal veranderen maar net als op Linux is het de onkundige gebruiker in dit geval die dit met toestemming op zijn systeem toe laat. Geen virusscanner is gewapend tegen de mens, ook niet op windows want dan roept men 'Oh het zal wel een false-positive zijn die keygen'
"zie je wel". een virus of malware, scareware, trojan, worm, spyware, rootkits worden bijna allemaal verwijderd door een virus scanner. dus een virus scanner is misschien niet nodig voor een virus maar wel voor de rest.

beetje raar dat iedereen zich dan zo veilig voelt. terwijl ze pleiten dat ze voor 1 van de 7 beschermd/resistent zijn :X

[Reactie gewijzigd door Proxx op 5 april 2012 09:40]

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True