Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 60 reacties
Submitter: himlims_

Het aantal Flashback-infecties op Mac-computers is deze week gehalveerd. Volgens Symantec blijven er nu nog 270.000 besmette systemen over, tegenover 600.000 vorige week. Dit is het gevolg van de release van enkele verwijdertools en updates.

De onderzoekers van Symantec becijferden dat het aantal geïnfecteerde systemen op 11 april daalde tot 380.000 en de dag erna tot 270.000. Symantec verwacht dat de daling zich voortzet. Vorige week waren er nog 600.000 systemen geïnfecteerd met de Flashback-malware. Die malware maakt gebruik van een al sinds september vorig jaar bekende exploit in Java om zich in bepaalde prorgamma's op OS X te nestelen, zodat het wachtwoorden en andere gevoelige data kan onderscheppen.

Oorzaak van die plotselinge daling in infecties vormen waarschijnlijk de verwijdertools van onder meer Symantec. Het aantal infecties neemt naar verwachting nog verder af door de net uitgebrachte update van Apple. Het bedrijf zette gisteren een update online die de meeste varianten van de Flashback-malware verwijdert en die Java herconfigureert om het veiliger te maken. Zo worden Java-applets niet meer automatisch uitgevoerd en als applets een tijdje niet worden gebruikt, worden ze uitgeschakeld.

De onderzoekers van Symantec kunnen het aantal geïnfecteerde systemen nagaan door het botnetverkeer te analyseren via een sinkhole-domein. Geïnfecteerde systemen in het botnet maken contact met beheerservers die opdrachten uitdelen. Het sinkhole-domein dat de onderzoekers in handen hebben, is een gespoofte beheerserver, waarmee ze het verkeer tussen de bots kunnen onderscheppen. De onderzoekers hebben zo bijvoorbeeld ontdekt dat de malware een domeinnaamgenerator gebruikt om elke dag via een ander domein contact te maken met de beheerservers.

Aantal Flashback-infecties volgens Symantec

Moderatie-faq Wijzig weergave

Reacties (60)

Ook mooi hoe Symantec nu aan de haal gaat met de eer omdat ze een verwijder tool hebben, terwijl een ander, onbekend bedrijf als eerste de noodklok luidde. Symantec loopt achter de feiten aan maar komt nu, zichzelf op de borst kloppend in het nieuws met een halvering van het aantal besmettingen.

Als een collega zo'n streek bij mij flikt op m'n werk dan zou ik me enigszins in m'n kruis getast voelen en het ook niet zonder meer over me heen laten gaan.
Doe niet zo naief, het is gewoon business, niks collega's.
Ik bedoel niet te zeggen dat Symantec het russische AV bedrijf als collega's moet zien, ik bedoel alleen aan te geven wat voor rotstreek dat ik het vind.
Voor oudere macs kun je middels de hardware-ID checken op besmetting.

http://www.technostarry.c...lashback-by-using-dr-web/

Voor de oudere macs (zonder hardware-ID) kun op de volgende manier checken of je besmet bent.
http://reviews.cnet.com/8...shback-malware-from-os-x/
Oudere macs krijgen geen updates meer. Dus daar hoef je niet op te wachten.
Dat heb ik ook gedaan op deze oude Mac (met 10.4)en dat werkte prima. Ik ben niet besmet.Ondanks alles wel Sophos geinstalleerd.En Java en Flash uitgeschakeld.
Ben je besmet staat op bovenstaande pagina ook hoe je de malware moet verwijderen.

[Reactie gewijzigd door Nozem1959 op 13 april 2012 11:55]

En dit is nieuwswaardig omdat? Lijkt me toch niet meer als logisch dat als een virus bekent word, en er een oplossing voor is bedacht, dat het aantal besmette systemen naar beneden gaat?

Dat het nu in zo'n rap tempo gaat is ook niet heel wonderbaarlijk met maar 1 virus en zo'n gesloten systeem.
Dit gaat over malware op OSX en OSX is niet bepaald een gesloten systeem.

Het geheel is natuurlijk afhankelijk wat je open noemt. Open als in de gebruiker mag alles? Op OSX kan je gewoon root worden, je kan software installeren van diverse bronnen (cd, app store of gedownload van een willekeurige internetpagina)

Open als in ondersteund open standaarden? Het is volledig POSIX complient. (Linux is niet helemaal POSIX complient en Windows helemaal niet)

Open als in het gebruikt open source? De basis van OSX is BSD. Van de darwin kernel zijn de sources beschikbaar. Het CUPS printer systeem wordt grotendeels door Apple onderhouden, net als webkit.

Ik denk dat je OSX en IOS door elkaar haalt.
Mensen in mijn omgeving noemen dit het eerste virus voor OSX. Dus 'n beetje nieuwswaarde heeft het wel.
En dan eigenlijk ook niet eens echt voor OSX, maar voor Java.
Probleem is vooral dat deze update erg laat wordt doorgevoerd. Update 31 is toch al een tijdje beschikbaar, maar werd pas deze week gepushed.

Een tijdje terug was er ook al een gat via Adobe acrobat reader. Die was een stuk minder spannend, want standaard worden PDF bestanden in voorvertoning geopend en de release van updates voor Acrobat reader loopt niet via het OSX update systeem.
De Java code daarentegen loopt wel via de standaard in OSX meegeleverde code en is ook beschikbaar via XCODE.

Ik ben benieuwd hoe Apple hier mee om zal gaan in de toekomst. Ze hebben eigen code wat gebruikt kan worden voor het maken van Apple software, deze wordt actief onderhouden door Apple. En ze hebben Java en Ruby, welke ook beschikbaar zijn via XCode om mee te programmeren. Hier doen ze echter de code van Sun etc. 1:1 gebruiken. Dit is niet conform de Apple strategie en geeft daardoor deze problemen. Aan de andere kant kunnen ze ook niet zo maar stoppen met het gebruiken van Java code....
Aan de andere kant kunnen ze ook niet zo maar stoppen met het gebruiken van Java code....
Waarom niet? Volgens mij is dat precies wat ze aan het doen zijn. In de nieuwe release is het er al uitgehaald. Je moet het als gebruiker zelf installeren. Op dit moment komt die installatie nog van Apple (en is Apple dus verantwoordelijk) maar binnenkort is dat niet meer zo. Dan is de situatie met Java dus precies zoals met Acrobat of Flash: niet Apples verantwoordelijkheid.
Volgens mij niet correct. Dit is wat Apple er zelf over schrijft:

“Write once, run anywhere” is true only if Java is everywhere. With Mac OS X, you know the Java Runtime is there for your applications, because it is built into the operating system. This means that when developing Java applications for deployment on Mac OS X, you know that Java is already installed and configured to work with your customer’s Mac.

Java is the only high-level framework on Mac OS X besides Cocoa that provides a graphical toolkit for building applications. With just a little work on your part, Java applications can be nearly indistinguishable from native applications. Information on how to achieve this is provided in “Mac OS X Integration for Java.” Users don’t need to learn different behaviors for Java applications—in fact, they shouldn’t even know that applications are Java applications.

http://developer.apple.co...verview/JavaOverview.html#//apple_ref/doc/uid/TP40001883-SW1
Ja, dat staat IN de Java documentatie... Op het moment dat dat geschreven werd, klopte het vast. Maar het Apple beleid t.o.v. Java is in de tussentijd veranderd.

Is ook logisch: in het begin van OS X was het van belang om zo snel mogelijk een platform te zijn waar zoveel mogelijk applicaties op konden draaien. Dat is inmiddels veranderd: OS X kan prima op zichzelf staan en het is eerder een beperking geworden dan een voordeel om die runtime te moeten blijven onderhouden.
Denk dat het 1 van de redenen is waarom Apple niet langer zal instaan voor Java maar het doorgeschoven word naar openjdk.
Java is sinds OS X Lion geen standaardonderdeel meer van het OS en veel mensen installeren het niet alsnog. Het enige OS dat Ŕcht kwetsbaar was voor Flashback was Snow Leopard.
Eerste OS X virus loopt ver terug in de tijd, maar om even een goede voorbeeld te geven dat OS X zeker wel gevoelig kan zijn voor virusen / trojans. ;) (zie link below)

http://www.sophos.com/en-...s/2006/02/macosxleap.aspx
Ja klopt, maar http://en.wikipedia.org/wiki/Leap_(computer_worm) dat is wederom een "virus" waar geen enkel systeem bescherming tegen biedt, als je alleen al ziet wat je moet doen om het te activeren. Effect is dan ook nog eens nihiel. Punt is, malware maakt ieder systeem vatbaar, dat heeft niets met OSX perse te maken, virussen in de vorm van verspreidend via Internet, etc. zijn er niet (en dat is waar Apple prat op gaat, niet op het feit dat er helemaal geen enkel risico zou zijn, zoals velen hier denken). Ook bij de malware die die 600.000 computers heeft geinfecteerd was actie vereist vanuit de gebruiker (zowiezo al het bezoeken van die site). Dat is al ernstig natuurlijk, maar daardoor is het probleem niet groter geworden, iets wat bij andere virussen veel meer het geval zou zijn.

[Reactie gewijzigd door vgroenewold op 13 april 2012 11:09]

Even je roze apple bril afzetten graag! Het bezoeken van een site kun je niet opvatten als "actie van de gebruiker".
* zucht * Welke roze bril? Lijkt wel alsof discussie niet mogelijk is de laatste tijd. Ik moet toch zelf naar die site surfen!? Mijn punt is dus, ik moet dat doen, de malware doet het niet voor mij en dus is versprijding niet zo efficient als dit wel gebeurt.
hoe kom jij dan op een site? Je zult toch minstens op een link moeten klikken waar je beter niet op had kunnen klikken.
Actie van gebruiker is dus niet op een website een pagina bekijken , eerder ondoordacht een progje of password maker installeren enter doen
En wat later hoop ellende verkrijgen

Anders kan je zekers niet op NU.nl gaan kijken , ging ook vaak fout voor sommige
Symantic noemde dit een worm die zich niet::

" Note: It infects files on the Macintosh OS X version 10.4. The worm will execute on Intel Macs, but cannot spread to other systems from these machines."

Dit virus:

- Betsnad moetr geopend worden door de gebruiker
- gebruiker moet het bestand 'uitvoeren'

Er waren dus specifieke user acties voor nodig, maar dit is een niet een zelf propagerend virus dat uit zichzelf permissies naar admin zet, eerder een geavanceerde trojan.
zegt meer over hun computerkennis dan over de reden waarom dit nieuwswaarde zou moeten hebben
Wat een gezeik over nieuwswaardig. Richt je eigen site op en zet erop wat jij nieuwswaardig vind.

Tweakers.net heeft een ruime doelgroep en niet iedereen vind alles even interessant. Zo vind ik dit nieuwsbericht wel boeiend, terwijl "EMC ontvouwt zijn Vspex-cloudplatform" me echt geen zak interesseert. Daar hoor je mij verder ook niet over klagen.
Virussen (malware) op Macs zijn vrij bijzonder, dus nieuwswaardig.
En welke mallware is er immiddels door flashback op al die mac's geinstalleerd? Een besmette machine is nooit meer te vertrouwen en zal dus gewist moeten worden en vervolgens een herinstall moeten krijgen.
Om welke reden? OS X heeft, in tegenstelling tot Windows, geen zaken als een complex register of een MBR waar een virus zich in kan verstoppen.
Een mac heeft genoeg plekken om zichzelf te verstoppen als tie root permissies krijgt/bemachtigt.

Maar wat SirBlade zegt is wel een beetje overdreven, als je een goede scanner/AV tool hebt die alles verwijderd is er niets mis.

Het is echt niet zo dat je na een infectie je pc niet meer kan vertrouwen en het "moet wissen", want hoe stel je je voor dat je dat moet doen? Gewoon opnieuw formatteren en opnieuw windows installeren? Dan heb ik nieuws voor je ...

Zelfs met helemaal wissen (afhankelijk van hoe je dat doet) kan je nog steeds een virus behouden als deze zich in de partitie tabel nestelt. Dit gaat zelfs niet weg als je je partitietabel leeg haalt en opnieuw partitioneert. Dus hoe kan je daarna je pc nog steeds vertrouwen?

Daar heb je dus AV tools voor, zat gratis ook die vanalles voor je cleanen/opruimen etc.
malware =! virus

En uiteindelijk zal OS X ook vaker blootgesteld gaan worden aan dit soort zaken. Maar dan nog is OS X vele malen veiliger dan Windows. Dus ik maak me voorlopig geen zorgen of ik met Mac OS X qua veiligheid wel de juiste keus heb gemaakt.

[Reactie gewijzigd door macquarius op 13 april 2012 10:56]

Een mac is niet veiliger dan een windows PC. Kijk maar eens naar de Pwn2Own contests. Het marktaandeel van OSX ten opzichte van windows was hoogst waarschijnlijk veel te laag om interessant te zijn.

Ik vindt het een veelgehoorde misvatting dat omdat er significant minder aanvallen zijn dit ook betekent dat het niet mogelijk is. Je zou hoogstens kunnen zeggen dat op specifieke punten mischien meer moeite gedaan moet worden. Maar dan nog voor een potentieel schlachtoffer maakt het niet uit of de criminelen er 2wkn of 6wkn over hebben gedaan om een 0day uit te werken.
en verkoudheid loop je ook op door een virus. En een gebroken been zeker ook? Geen appels met peren vergelijken. Een trojan is geen virus. Een Mac computer besmet niet automatisch een volgende Mac computer.
Als er elke dag gebruik wordt gemaakt van een andere domeinnaam, hoe kunnen ze bij symantec dan via een sinkhole-domein de aantallen schatten? Het kan dan toch zijn dat de bots niet naar hun sinkhole-domein verbinden maar naar een ander domein?
Het is wel nieuwswaardig. Natuurlijk is het goed dat het aantal gehalveerd is. Er wordt wat aan gedaan. Maar waarom zijn er nog zoveel ge´nfecteerde systemen en weten deze users er wel van?

Het probleem van een systeem wat bekend staat als relatief veilig voor virussen (Mac, Ubuntu of otherwise) is dat veel gebruikers niet denken aan een virus. Dat zorgt ervoor dat zulke systemen langer dan reguliere systemen besmet kunnen blijven zonder dat het opvalt voor de user.
In dit geval wist Apple ervan. Zij zijn nalatig geweest in het patchen.

Dat maakt het zo zuur.
Waarom zullen we niet weten, maar doordat ze zo groot zijn lopen ze steeds meer gevaar.

Hopelijk zijn ze niet zo arrogant als MS jaren geleden en gaan ze verdere beveiliging aanscherpen en serieus nemen.
Vandaag is er ook van Apple een Java update uitgekomen die de malware verwijderd.

http://www.appleinsider.c...es_flashback_malware.html
Goed dat ze het zo snel aanpakken, Apple is niet gewend om met virussen om te moeten gaan.
Uhhh deze trojan was al in september 2011 ontdekt. Dat ze er nu pas wat aan is gedaan noem ik niet snel :')

Maarja, Apple kon toch helemaal nooit iets mee mis gaan en bestonden geen virussen voor toch?
Dat heb je fout.

Het gat in java was since tijd bekend. De trojan aka virus kwam later
En uiteraard ga je een bekend gat in je beveiliging, dat nota bene door de originele maker van het stuk software met dat gat al maanden terug gefixt is, pas oplappen nadat er al meer als een half miljoen gebruikers ge´nfecteerd zijn...

Dus nee, nog steeds niet snel. Een bedrijf dat veiligheid en privacy hoog in het vaandel heeft staan, zorg er voor dat gaten ASAP gedicht worden. Hier is zelfs aantoonbaar dat het gat allang dicht had kunnen zitten, maar dat dat stomweg niet gedaan is.
Oracle heeft het gat midden februari gefixt. Dat was 6 weken eerder dan de fix van Apple. Nog steeds lang, maar ik weet niet waar je maanden vandaan haalt.
misschien heb jij een andere mening, maar ik stel toch voor om een beveiligingsprobleem zo snel mogelijk op te lossen (en dus niet te wachten tot er misbruik wordt vastgesteld)
Kijk even naar de bron van dit bericht, wat dat bedrijf doet en de belangen die het bij dit bericht kan hebben. I rest my case.
Ik vind dat zo een non argument. Met dezelfde theorie ga je na een doktersbezoek zieker buiten dan binnen.

In de beveiligingswereld (waar AV bedrijven onder vallen) staat en valt alles met vertrouwen. Geen enkel groot bedrijf dat zich aan zulke taktieken schukdig zal maken. Als dat ooit uitkomt kunnen ze de deuren wel sluiten.

Neen, het word tijd dat Mac gebruikers hun ogen openen en wat meer aandacht aan veiligheid gaan besteden ipv er vanuit te gaan dat ze een superveilig systeem hebben.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True