Sophos: 'Eerste virus voor Mac OS X ontdekt'

De mannen in witte jassen van SophosLabs beweren niet alleen een virus voor Mac OS X ontdekt te hebben, maar claimen bovendien dat het hierbij om een primeur gaat. Een worm met de naam OSX/Leap-A zou het eerste virus zijn voor het Apple-platform. Het beestje verspreidt zich via iChat, Apples instant-messagingprogramma, door zichzelf te forwarden naar contacten op de buddylist. De worm presenteert zichzelf als een bestand met de naam latestpics.tgz wat een tar-bestand is met daarin een tweetal bestanden, waaronder een jpeg-bestand. Het bestand werd voor het eerst gepubliceerd op het forum van Mac Rumors waarbij werd gemeld dat het archief plaatjes van de komende versie 10.5.5 (Leopard) van MacOS X zou bevatten.

Nadat de gebruiker het .tgz-bestand op zijn harddisks heeft opgeslagen moet deze het handmatig uitpakken door er op te dubbelklikken waarna het 'virus' pas geactiveerd wordt zodra de gebruiker dubbelklikt op het enige zichbare bestand wat het archief bevat. Indien de gebruiker niet is ingelogd als admin, moet deze tevens zijn wachtwoord invoeren om het virus te installeren. Een uitgebreide analyse van het virus is te lezen op het forum van Ambrosia Software. Andrew Welch, die het virus uitgebreid heeft bestudeerd, is van mening dat het zeer onwaarschijnlijk is dat iemand 'ongemerkt' met het 'virus' wordt besmet. Sophos' consultant Graham Cluley waarschuwt Apple-bezitters dat zij 'niet langer zorgeloos achterover kunnen leunen, met het idee dat Mac OS X onkwetsbaar is. Ze zullen voortaan net zo waakzaam moeten zijn voor malware als hun collega's en vrienden met Windows-pc's.'

Primeur of geen primeur, in april 2004 konden we al melden dat antivirussoftwareschrijver Intego waarschuwde voor een potentiële bedreiging voor (i)Macs; het ging toentertijd om een Trojaans paard met de naam MP3Concept(Mp3Virus.gen), dat de Mac binnen zou kunnen wandelen, verscholen in de id3-tag van een mp3-bestand.

Update 16 februari 19:15: extra informatie toegevoegd over het virus.

Reacties (59)

Anoniem: 168781 16 februari 2006 18:13

Nou het is wel een storm in een glas water hoor:

Als je het virus oploopt moet je het eerst uitpakken dan openen, dan (als je als gewone gebruiker bent ingelogd) je administrators password geven en dan: zou je het virus oplopen.

Het is common sense dat als je een "plaatje" zou openen dat je dan niet je administrators password zou moeten hoeven op geven.

enfin slechte ontwikkeling maar een virus is het niet, meer een slecht geschreven trojan

Ik kan ook een script schrijven met rm -rf ~ en er een icoontje op plakken van een .jpg

mjtdevries @Anoniem: 168781 • 16 februari 2006 21:44

Tja, als alle eindgebruikers nou eens "common sense" zouden hebben.

"Ik vond het wel een verdacht mailtje met attachment, en vroeg me al af of het wellicht een virus kon zijn. Maar ik heb het toch maar geopend want ik was wel nieuwsgierig"

Ja, dat soort domme gebruikers bestaan echt!!

Phuncz

16 februari 2006 18:02

Een virus de wijde wereld in laten, een strak plan om antivirus software voor Mac te verkopen ? Nu Apple zijn aandeel vergroot heeft, is het geen onverwachte zet. Zowiezo zal er meer interesse zijn om virussen en wormpies ervoor te schrijven, naarmate de populariteit groeit.

Chatslet @Phuncz • 16 februari 2006 20:44

Anti virus software voor de Mac is er al van Symantec. Heb er hier een versie van liggen maar niet geinstalleerd. Echt te gek voor woorden dat pakket het maakt je hele bak traag en het vind eigenlijk alleen maar pc virussen. Ik ga het pas installeren als er echt een serieus virus voor OS X is en nee, niet voor een virus dat vraagt geinstalleerd te worden en waarvoor ik me admin wachtwoord moet in typen

Kom op zeg! Maak dan een echt virus ofzo!

Roelant @Phuncz • 16 februari 2006 21:26

En niet te vergeten Virex van McAffee. Maar het feit dat er nauwelijks aandacht aan wordt besteed door de makers als zijnde een serieus product, het feit dat er maar sporadisch .DAT updates zijn én het feit dat niet eens alle fabrikanten een product voor Mac hebben, is wmbt. veelzeggend.

t-h @Roelant • 16 februari 2006 22:13

ook als er echt virussen zijn hoef je niet van alle fabrikanten software te wachten. zo aantrekkelijk is OS X niet voor veel softwaremakers.

Anoniem: 129948 @Phuncz • 17 februari 2006 10:32

T'ja een wat van het risico? Het lijkt mij nog steeds onwaarschijnlijk dat er een echte exploit zou zijn waarmee priviledge escalation of remote control mogelijk zou zijn. Het ergste lijkt mij dat er een bestand of map mishandeld wordt. Het Unix model van rechten blijft gewoon heel sterk, en het beste wapen tegen dit soort geintjes blijft kennis. Het is niet zo dat het huis gebouwd is met deuren en vensters open! Als je al gewoon iets als "the missing manual: OSX" leest weet je dat je geen admin password nodig hebt om een plaatje te bekijken....

Wel goed dat nog geen dag nadat dit bekend raakte Apple een update had om het te verhelpen.

Neen, dit is nog geen aanleiding om aan de virusscanner te hangen, wel aanleiding om mensen wat kennis mee te geven omtrent gezond met je computer om te gaan.

wildhagen

16 februari 2006 18:10

Een worm met de naam OSX/Leap-A zou het eerste virus zijn voor het Apple-platform

Met alle respect, maar dat klopt niet. NAI (McAfee) heeft al minimaal 90 Mac-virussen in zijn lijst staan (zoek maar eens op MacOS in hun virusdatabase), misschien nog wel meer.

Misschien wel de eerste voor OS X, maar de eerste voor Mac als geheel? Nee, dus.

Superstoned @wildhagen • 16 februari 2006 19:49

waarschijnlijk hebben ze alle virussen ooit voor de mac gemaakt (vanaf de apple II van ruim 25 jaar geleden tot de laatste max OS X) erin gezet, anders kom je daar vast niet aan ;-)

haha

h4ns @wildhagen • 16 februari 2006 20:05

Het grootste deel daarvan zijn Word/Office Macro virussen, en enkele classic dingen die totaal niets kunnen uitvoeren in OSX. Voorlopig zou ik me niet te druk maken en lekker zonder virusscanner blijven doorwerken in X.

Nietzman 16 februari 2006 18:08

Het lijkt er op dat men is vergeten te vermelden dat men eerst het rootwachtwoord in dient te vullen voordat het bestand geopend kan worden...

Anoniem: 100337 @Nietzman • 16 februari 2006 18:13

Inderdaad. Het "virus" vraagt om je admin-password. Bovendien doet het, behalve zich verspreiden via iChat, helemaal niets.

Anoniem: 141647 @Anoniem: 100337 • 16 februari 2006 19:05

Mee eens. Zelfs al ben je nog zo'n beginner, een wachtwoord invoeren om een plaatje te openen lijkt me wel heel erg doorzichtig!

KroeT 16 februari 2006 18:09

Het is zelfs geen worm maar een Trojan. Je moet het bestand downloaden, 'unzippen' (untgzen dus), openen, je admin wachtwoord intoetsen, en DAN wordt de executable uitgevoerd. Tja... Gevaarlijk hoor

citegrene @KroeT • 17 februari 2006 13:44

Je hoeft het dan nog net niet zelf door te sturen.

ReneLies313 16 februari 2006 20:07

Is het niet gek dat je een "virus" zelf moet installeren? Dit is dus niet echt bepaald een virus. Het OS zal in dit geval namelijk altijd om een wachtwoord vragen, aangezien een gebruiker niet als admin ingelogd is (in OS X).

Als je zelf een beetje oplet is er dus niets aan de hand, maar misschien ben ik de enige die het gek vindt dat als ik een afbeelding bekijk het programma root-access nodig heeft

Tegen de "domheid" van een gebruiker kan geen enkel OS zich beschermen; ook Apple OS X niet.

Abom 17 februari 2006 09:14

Allemaal leuk en wel, die beweringen dat wanneer je als normale gebruiker werkt, je een password in moet geven zodat het met root permissies gedraait kan worden. Maar jullie vergeten dat Windows geen s-bit kent en alleen met voldoende kennis en handmatige acties kan een gebruiker met beperkte rechten een applicatie/virus uitvoeren met elevated permissions.
Verder vergeten jullie wel even heel eenvoudig dat dit wachtwoord niet gevraagd wordt wanneer je als superuser aan het werken bent (en daar hebben mensen nu eenmaal een handje van, zowel onder OS X als Windows).

Verder vraag ik me af welk recent Windows virus tegenwoordig zichzelf verspreid en bijvoorbeeld misbruik maakt van buffer overflows in RPC. Voor zover ik weet verspreid elk nieuw virus zich doormiddel van e-mail of msn en moet nog altijd door de ontvanger zelf uitgevoerd worden (en tja, das nou eenmaal heel eenvoudig in Windows).

Anoniem: 13478 @Abom • 17 februari 2006 10:43

Uit je reactie geef je duidelijk aan geen kennis van zaken te hebben voor wat betreft OSX. Mensen hebben helemaal geen 'handje van' werken onder su rechten. In de terminal kan alleen gewerkt worden met sudo, su werkt niet. Inloggen als su lukt je niet eens zonder het activeren van het rootaccount. En dat laatste is ook nog eens niet erg makkelijk gemaakt. (activeren root access)

Ik beweer hiermee overigens niet dat OSX veilig is. Volgens mij heeft Security ook niet de hoogste prio bij Apple. Maar laten we wel bij de feiten blijven en niet met de natte vinger bedenken wat er wel of niet gebeurt op een OSX platform.

Abom @Anoniem: 13478 • 17 februari 2006 10:54

Het klopt dat ik niet heel erg bekend ben met OS X. Volgens een forum waar ze discussieren over dit virus zijn 'admin' rechten al voldoende. Werken als admin blijkt wel veel te gebeuren.

Ik dacht dat admin rechten en root rechten onder OSX hetzelfde waren, blijkbaar niet. Maar dat veranderd mijn stelling dus niet.

Anoniem: 88138 @Anoniem: 13478 • 17 februari 2006 10:56

Laten we het dan volledig maken:

Applicaties op OS X (in /Applications) zijn van owner root en als group admin (per default). Permissies zijn 775 standaard (daar kan je van afwijken uiteraard), dat betekent dat root en group admin kunnen schrijven en de rest alleen lezen. Alle admin users op OS X komen automatisch in group admin, dat betekent dat om /Applications te "infecteren" het voldoende is om admin user te zijn, er hoeft geeneens om een extra wachtwoord gevraagd te worden. Nette installers vragen dat wachtwoord wel, gewoon als extra bevestiging, maar een Trojan/Worm zal dat natuurlijk niet doen.
Kortom, allemaal naar System Preferences gaan en je account van admin afhalen. ;-)

Anoniem: 34095 16 februari 2006 19:29

Erg laconieke berichten hier....het is een kwestie van tijd dat serieuzere virussen zich zullen ontpoppen op OSX.

Martin Sturm @Anoniem: 34095 • 16 februari 2006 23:32

Dan moeten er wel eerst serieuze veiligheidsgaten opduiken die niet gepatcht worden. Dat is al flink lastig, aangezien een groot deel van Mac OS X, in ieder geval de kritische onderdelen (kernel, services zoals Samba, Apache, OpenSSH en FTP) allemaal open-source zijn. Een virus moet gebruik maken van veiligheidsgaten om zichzelf ongemerkt te kunnen installeren. Volgens mij zijn er momenteel geen (local) rootexploits beschikbaar voor Mac OS X en dus is de kans voor virussen al een stuk minder op Mac OS X als onder Windows.
Het argument van 'als maar veel mensen het gebruiken, komen er vanzelf virussen' is gewoon mank. Een voorwaarde voor een succesvol virus is een gat in het besturingssysteem. Het is ook gewoon schattig zoals zoveel mensen deze mythe van elkaar overnemen, zonder eigenlijk de onderliggende techniek voldoende te begrijpen om een daadwerkelijk oordeel te vormen. Ik wil niet zeggen dat ik een virusexpert ben of zo, maar ik heb wel voldoende kennis van Unix-gebaseerde besturingssystemen om te kunnen verzinnen wat er nodig is voor een virus. Als een virus zich ongemerkt kan installeren heb je dus gewoon een veiligheidsgat in je systeem...

Amdk6II @Martin Sturm • 17 februari 2006 18:37

Ze (die schattige mensen) redeneren gewoon heel simpel.
Als ene product veel vaker word gebruikt word het interresanter voor een virusschrijver om daar een virus voor te schrijven.

Als virusschrijver wil je of de aandacht of schade aanrichten.
Dat gaat lastig als je met jouw virus maar een beperkt aantal mensen kan lastigvallen.
Het is inderdaad niet zo dat dit ook betekend (stel dat Apple ineens de helft van de pcmarkt krijgt) dat een besturingssysteem automatisch zou worden overspoeld met virussen.

Andere variabelen zoals de veiligheid van het systeem, de stupiditeit van de gebruiker

en de moeite die een virusschrijver wil doen om iets te bedenken wat schade kan doen in MacOS horen daarbij.

Tja, als Windows ineens masaal verstoten word door MacOS zal je heus wel meer virussen (of pogingen daartoe) zien verschijnen voor het Mac platform. (intel en powerpc cpu's)

kimborntobewild @Amdk6II • 20 februari 2006 22:59

Ze (die schattige mensen) redeneren gewoon heel simpel. Als ene product veel vaker word gebruikt word het interresanter voor een virusschrijver om daar een virus voor te schrijven.

Precies, die schattige mensen reageren simpel.
Erg simpel. Té simpel. Véél te simpel. Onnozel simpel, zelfs. Terwijl die domme stelling zich na 10 jaar Win9+ nog steeds moet bewijzen, is iedereen die met Windows heeft gewerkt gemiddeld al tientallen keren besmet met viri, spyware, etc.
Verschillen in de basisopbouw tussen de OS'sen worden door de winfanboys gewoon compleet genegeerd.

Climax69 @Anoniem: 34095 • 16 februari 2006 19:46

Daarbij niet te vergeten dat Apple langs de zijlijn al jaren staat te kijken en Microsoft al aardig wat jaren ervaring heeft op het gebied van security. Kijk maar naar de vooruitgang tussen LM hashes > NTLMv2 hashes en MS SQL 2000 > MS SQL 2005. Tuurlijk kan het nog beter maar dat zijn afwegingen.

Ik denk dat er nog veel te verwachten valt van virussen voor de Mac. Een virus (of ander soort van malware)-maker heeft maar 1 doel; zoveel mogelijk computers infecteren. Windows heeft veel computers is dus aantrekkelijker dan het Mac platform met relatief weinig computers. Momenteel is Mac in populariteit aan het stijgen dus wordt het ook aantrekkelijker.

GekkePrutser 16 februari 2006 18:04

Dit is dus geen virus maar een worm (omdat hij zichzelf via Internet verspreidt), bovendien zijn er wel degelijk virussen bekend. Ik weet helaas zo gauw geen voorbeeld.

Maar Symantec bijvoorbeeld http://www.symantec.com/h...ternet_security/nav10mac/ zou heus geen antivirus pakket ontwikkelen als ze geen enkel virus kunnen herkennen.

Overigens is deze worm via de site macrumors.com verspreid (www.macrumors.com), ik weet niet of dat de eerste verspreiding was maar hij is daar in het forum door iemand als een .JPEG plaatje neergezet. Mensen die hem toen downloadden en er op klikten merkten achteraf pas dat het eigenlijk een programma was.

edit: @KroeT Je hebt gelijk, het is een trojan, inderdaad!

Anoniem: 112425 @GekkePrutser • 16 februari 2006 18:11

De virusscanners voor Non-Windows Os'en zijn er veelal om te voorkomen dat Non-Windows bakken virussen meesturen naar Windows bakken.

BartOtten @Anoniem: 112425 • 16 februari 2006 19:36

Klopt, zo heb je clamav en enkele mailscanner voor Linux. Er zijn amper Linux-virussen en daarvan was maar 1 effectief gevaarlijk ooit.

Dus dat argument zegt niet zo heel veel...

Anoniem: 62011 16 februari 2006 18:07

Wat kost een virusscanner die maar 2 virussen herkent?

jealma @Anoniem: 62011 • 16 februari 2006 18:29

een windows virusscanner kost rond de 50 euro en herkend waarschijnlijk 10.000+ virussen.
Een macosX scanner die maar 2 virussen herkend zal dan probably 50/10.000= 0,5 cent kosten inclusief 1 jaar updates en helpdesk

TheCapK @jealma • 16 februari 2006 20:42

Oh, that wonderful world of dreams!

Op dit item kan niet meer gereageerd worden.

Sophos: 'Eerste virus voor Mac OS X ontdekt'

Lees meer

Reacties (59)

Sorteer op:

Weergave: