Apple vernieuwt antimalwaresoftware tegen via Reddit beheerd botnet

Apple heeft zijn antimalwaresoftware Xprotect vernieuwd, zodat het beschermt tegen Mac.BackDoor.iWorm; malware die een Mac onderdeel laat uitmaken van een botnet dat onder andere via Reddit wordt beheerd. Er zouden meer dan 17.000 besmettingen zijn.

Een nieuwe versie van Xprotect bevat verwijzingen naar iWorm.A en iWorm.B, zo ontdekte Macrumors. Apple lijkt de nieuwe malwaredefinities stilletjes te hebben doorgevoerd. Met de nieuwe versie van Xprotect moeten Mac-gebruikers worden beschermd tegen Mac.BackDoor.iWorm, die besmette Macs opneemt in een botnet.

Een Russisch antivirusbedrijf ontdekte Mac.BackDoor.iWorm en vond dat er al meer dan 17.000 Macs zijn besmet met de malware. Opvallend is dat besmette systemen gebruikmaken van Reddit om verbinding te maken met het botnet. De beheerders verspreiden een lijst met botnetservers via Reddit, die alleen met een bepaalde zoekterm te vinden zijn. De zoekterm is gebaseerd op de md5-hash van de huidige datum.

Xprotect werd door Apple geïntroduceerd bij OS X Snow Leopard en waarschuwt bij de aanwezigheid van malware op de Mac. Updates worden automatisch binnengehaald.

Xprotect Mac.BackDoor.iWorm

Reacties (89)

Erulezz 5 oktober 2014 13:15

De oorzaak van deze malware schijnt ook al bekend te zijn, het gaat om een illegale versie van Adobe Photoshop die verspreid is via TPB. Doordat mensen de installer admin toegang gaven werd de betreffende folder direct aangemaakt. Tsja en als mensen zonder na te denken hun admin wachtwoord geven aan een installer die uit illegale bronnen komt, dan kan je dit ook wel verwachten.

Kan de blogpost waarin dit werd onderzocht even zo snel niet meer vinden, stond ergens op Reddit.

Om te bekijken of je XProtect.plist al is bijgewerkt, ga in de Finder naar de volgende locatie:

/System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/

Scroll helemaal naar beneden totdat je het bestandje XProtect.meta.plist ziet. Als de laatst gewijzigde datum gisteren of vandaag is ben je beschermd. Er is volgens mij niet een directe manier om deze update handmatig binnen te halen, je Mac controleert dagelijks op updates.

[Reactie gewijzigd door Erulezz op 22 juli 2024 21:58]

Aaargh! @Erulezz • 5 oktober 2014 14:20

Doordat mensen de installer admin toegang gaven werd de betreffende folder direct aangemaakt.

Niet alleen moet je admin toegang geven, je moet ook expliciet de security omlaag zetten zodat deze niet-gesignede executables draait.

Op deze trojan op je Mac te krijgen moet je dus maar liefst 3 domme dingen doen.

1) Een illegale photoshop downloaden
2) Nadat OS X een waarschuwing geeft dat de app niet gesigned is (alsof Adobe software niet gesigned zou zijn..) moet je naar settings en expliciet toestemming geven om deze ongesignde app te runnen
3) Je moet je admin password invoeren.

Yucko @Aaargh! • 5 oktober 2014 18:41

Sinds wanneer is illegale software signed? Meestal zijn er aanpassingen gedaan om licentie-checks onklaar te maken

Maurits van Baerle @Yucko • 6 oktober 2014 00:36

Het is niet gesigned, daarom krijgt een gebruiker dus een waarschuwing. Tenzij de maker van de malware het certificaat van Adobe heeft kunnen stelen kan die maker die waarschuwing niet voorkomen.

ILUsion @Maurits van Baerle • 6 oktober 2014 21:23

Maar net zozeer zal gekraakte software (lees: software die aangepast geweest is om licentiecheck niet uit te voeren), niet meer getekend zijn door Adobe en dus heb je hetzelfde symptoom als bij andere malafide software, zoals in dit geval.

Een deel van het probleem is dat veel software momenteel nog niet getekend is, eigenlijk al helemaal als je wat met gratis/goedkope/oude software werkt op Mac. Door die praktijk word je erop getraind om te rechtsklikken, Open te kiezen en het volgende dialoogvenster weg te klikken met OK. Het spijtige gevolg zien we hier.

Die hele feature had Apple wel iets beter mogen in elkaar steken: iets meer informatie over wat er achter de schermen gebeurt, had handig geweest (bv. van wie is het certificaat, is dat gekend bij Apple, komt die handtekening overeen met de hash van de software, is het niet getekend, ...). Momenteel zijn de boodschappen eigenlijk zeer cryptisch en vaak gewoon onjuist, zelfs voor betrouwbare software.

gjmi @ILUsion • 10 oktober 2014 08:57

De berichten zijn niet onjuist. Apple waarschuwde dat de software niet gesigned is. Niet dat het malafide software is. Dat zijn twee verschillende dingen. zelfs signed software kan malafide code bevatten, maar dan weet je zeker dat het door de ontwikkelaar zelf er in is gezet.

Verwijderd @Aaargh! • 5 oktober 2014 16:39

Klinkt net als een besmetting op een windows machine, de gebruiker vraagt er zelf om.

DJMurtz @Erulezz • 5 oktober 2014 19:23

Tsja en als mensen zonder na te denken hun admin wachtwoord geven aan een installer die uit illegale bronnen komt, dan kan je dit ook wel verwachten.

Ik heb een Adobe Creative Cloud abonnement, en met iedere update van elke applicatie van Adobe die ik geïnstalleerd heb, krijg ik mooi een melding dat ik mijn admin wachtwoord moet opgeven.

Zo gek is het dus (helaas) niet om die melding te krijgen bij Adobe producten.

gjmi @DJMurtz • 6 oktober 2014 09:39

En juist omdat het normaal is dat adobe admin rechten nodig heeft om te installeren is dit een idelae kanidaat om een trojan in te stoppen.

Daarom nooit spullen installeren uit illegale bron.

xiphoid @Erulezz • 6 oktober 2014 00:43

Thumbsup! Bedankt

CMD-Snake 5 oktober 2014 13:07

Zou het niet beter zijn voor de Mac gebruiker om ook een AV pakket te kopen van een echte AV leverancier? Er zijn wel een aantal die pakketten maken voor OS X, ook van bekende leveranciers.

Verwijderd @CMD-Snake • 5 oktober 2014 13:13

Als Apple een antivirusprogramma aanbiedt, maakt dat ze per definitie een "AV leverancier".

Ik gebruik MSE en common sense, en dat werkt prima. Hoef ik helemaal geen geld neer te leggen voor een programma dat evengoed werkt.

Verwijderd @Verwijderd • 5 oktober 2014 13:44

MSE is echt ontzettend basic, evenals common sense trouwens. Je kunt tegenwoordig virussen oplopen door een youtube filmpje te bekijken, door te facebooken of door een pdf of foto te openen van een familie lid of kennis met een besmette PC. Het idee dat je PC alleen alleen kan worden besmet door een .exe te installeren omdat je een gratis Ipad hebt gewonnen ligt ondertussen wel achter ons.

Verwijderd @Verwijderd • 5 oktober 2014 15:42

>Je kunt tegenwoordig virussen oplopen door een youtube filmpje te bekijken, door te facebooken

Een YouTube filmpje dat mijn computer infecteert? Citation needed.

Facebook is ook behoorlijk veilig.

Daarnaast, common sense basic? Het werkt anders supergoed voor mij. Mijn computer draait zeer snel, heb geen last van meuk. Adblock doet goed zijn werk om gevaarlijke elementen op de meeste websites te vermijden.

En ik zei niets over een .exe, die opmerking was dan ook irrelevant.

Edit: Er zijn inderdaad genoeg mogelijkheden om code in alledaagse bestanden op te slaan, zoals een .gif met javascript die dan als scriptsource dienst doet, maar een youtube video dan? Sure, je kan er vast code in opslaan, maar kan je die ook laten uitvoeren door de browser? Doet Google daarnaast niet sowieso al aan codehuishouden dat bepaalde content niet bepaalde code mag bevatten (zie http://xkcd.com/327/), vooraleer de content daadwerkelijk in beeld komt? Laat staan dat compressiealgorithmen daar ook nog hun schade aan doen?

Zelfde met facebook - met uitzondering van advertenties van derde bronnen, die ik standaard toch al blokkeer en ieder ander aanmoedig hetzelfde te doen, kan ik me niet voorstellen dat een onderdeel van de sites dienst kan doen als aanvalspunt. Ik ben dan ook nog steeds benieuwd naar een bron daarvoor.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 21:58]

YaPP @Verwijderd • 6 oktober 2014 14:01

Zelfs met simpele afbeeldingen, video's of PDF's kun je dingen uithalen:

https://pbs.twimg.com/media/BerSGmCCEAA30I4.png:large
hetzelfde bestand, wat geldige GIF en geldige JavaScript is.

http://php.webtutor.pl/en...-carried-in-a-jpeg-image/
een JPEG afbeelding met PHP code erin

http://blog.didierstevens.com/2010/03/29/escape-from-pdf/
PDF die een exe uitvoert (wel met prompt)

Basically, alles wat data verwerkt kan zich ook verslikken in die data. Zo komt een hacker voorbij password prompts, zo werkten ook die heartbleed en Shellshock (bash) exploits, zo kunnen ook onschuldige media bestanden toch virussen activeren.

[Reactie gewijzigd door YaPP op 22 juli 2024 21:58]

ZpAz

Apple

@Verwijderd • 5 oktober 2014 14:34

Zo is het momenteel imho wel op OSX (waar je de .exe vervangt voor een OSX executable). Hier draait enkel Apple's (bovenstaande) antimalware software. Dat staat er standaard op en dat is prima. Vind het altijd zelf maar een raar concept, dat je extra software moet halen om je OS veilig te maken. Dat lijkt me één van de basis taken van een OS.

Hieronder kan je in het bericht van Erulezz en Aaargh! lezen over wat je wel niet moet doen om dit stukje malware geïnstalleerd te krijgen.

[Reactie gewijzigd door ZpAz op 22 juli 2024 21:58]

lepel @CMD-Snake • 5 oktober 2014 13:12

De meeste AV paketten op OSX scannen alleen naar Windows virusses om zo te voorkomen dat je vanaf je Mac een Windows PC besmet via een usb o.i.d.

Rafe @lepel • 5 oktober 2014 13:19

Dat zou knap suf zijn. Als je al scant voor op honderdduizend Windows-virussen kan je die handvol virussen voor andere besturingssystemen ook wel meenemen.

OkselFris @lepel • 5 oktober 2014 13:37

De meeste pakketten voor OSX hebben ook als primaire doel om OSX malware te vinden, het vinden van Windows malware is niet het hoofddoel.
Is natuurlijk wel het feit dat er voor OSX maar een handje vol aan malware te vinden is en zo' n pakket eerder Windows malware zal vinden als je samenwerkt met windows gebruikers.

martijnvanegdom @lepel • 5 oktober 2014 13:42

Voor AVG (de gratis editie ook) geld dat in ieder geval niet.. Ik ben bijvoorbeeld onlangs OSX/CoinThief.A tegengekomen met AVG..

monojack @lepel • 5 oktober 2014 16:28

En waarom zouden we dat doen? Het OS date zichzelf op. Een AV pakket gaat geen besmetting voorkomen als het virus onbekend is dus zou het in deze niet veel verholpen..

gjmi @monojack • 5 oktober 2014 16:50

Omdat meer controle veiliger is?

Ook niet alle Windows AV paketten werken even goed of zijn even snel met reageren op een nieuw virus dus een combinatie van twee maakt het net weer iets veiliger. Dat zal voor MacOS ook gelden.

gjmi @monojack • 5 oktober 2014 21:37

Ik zeg niet dat je dubbel moet hebben.
Maar geloof me, het aantal virussen en malware op macos zal flink stijgen de komende jaren. Juist omdat niemand aan AV denkt is het juist zo interessant.

monojack @gjmi • 6 oktober 2014 11:51

Als ik dat soort voorspellingen moest geloven zat ik al jaren met AV die al jaren gewoon nutteloos had liggen wezen.

MacOS zit gewoon goed in elkaar, is daarom heel moeilijk om er veel virussen en malware voor te maken. Is daarom ook belachelijk om er AV voor aan te schaffen.

BoringDay @CMD-Snake • 5 oktober 2014 13:46

Die betaalde versies van bekenden leveranciers, kan me nog goed herinneren wat voor rommel die er van maken. Terwijl ClamXAV gewoon simpel en gratis is en niet de boel verstoord.

Dus het antwoord is nee.

Gewoon geen illegale troep installeren, doe je dit toch dan ligt de schuld bij jezelf.
Wil je als werkgever het afschermen dan geef je aan er alleen apps uit de app store mogen geïnstalleerd worden en vergrendel je de optie. Dat werkt veel beter dan welke AV dan ook.

[Reactie gewijzigd door BoringDay op 22 juli 2024 21:58]

Dreamvoid @BoringDay • 5 oktober 2014 19:03

Gewoon geen illegale troep installeren, doe je dit toch dan ligt de schuld bij jezelf.

Het hoeft helemaal niet aan de gebruiker te liggen, via een JavaScript exploit in de browser bijvoorbeeld kan je ook door een doodnormale site te bezoeken geïnfecteerd worden. Dan is het toch wel handig dat er een programma op je Mac draait dat die malware die zo geïnstalleerd wordt kan detecteren.

Ome Kor

@Dreamvoid • 5 oktober 2014 19:47

Zo'n programma draait er al standaard op een Mac, genaamd "Xprotect". Een AV-programma voegt niks toe, het kan alleen bekende malware herkennen en alle bekende malware is niet in staat om een Mac te besmetten die helemaal bij is met de security updates. Als je besmetting via JavaScript wilt uitsluiten dan kun je beter een plugin zoals No-Script gebruiken. Dat vind ik nuttiger dan een AV-programma, No-Script voorkomt tevens dat de diverse data-miners alles zien wat je uitvoert op het Internet.

BoringDay @Dreamvoid • 5 oktober 2014 19:53

In het geval van Windows ja, bij de Mac werkt het net even wat anders omdat je ten eerste al toestemming moet geven en een wachtwoord invoeren. Als zo situatie zich voor zal doen moet je in feite al meteen doorhebben dat het niet klopt.

OkselFris @CMD-Snake • 5 oktober 2014 13:47

Dat is de keuze voor de gebruiker. Apple bouwt ene minimale bescherming in, maar adviseert zelf ook dat het altijd verstandig is om een virusscanner te installeren.
Apple gebruikers moeten echter nog wat meer bewust worden van dit feit, niet raar gezien de kans op besmetting heel erg klein is en helemaal als je oplet waarvoor je autorisaties geeft.

Virusscanners op OSX hebben ook lange tijd een slechte reputatie gehad, ze leverde meer problemen op dan een gebruiker lief is. Dat is mede een reden dat veel gebruikers deze pakketten ontwijken en vertrouwen op de ingebouwde beveiliging. (Xprotect, Gatekeeper, sandboxing)
En in principe is die beveiliging goed, een virusscanner is ook maar een lap middel.
Intussen merk ik dat de virusscanners wel wat volwassener worden en wat minder impact op het systeem hebben.

BoringDay @OkselFris • 5 oktober 2014 14:58

Met die betaalde versies klopt het, die zijn vaak dusdanig slecht dat ze een storende factor zijn.
Daarom gebruik ik al ruim 5 a 8 jaar ClamXAV, werkt eenvoudig en doet wat het doen moet en het kost je geen cent.

Onder windows gebruik ik Avast, welke ik regelmatig uitschakel omdat die alsmaar installaties van software, ontwikkel processen in de weg zitten. Beveiliging moet in feite een aanvulling zijn en niet een obstakel.

SuBBaSS @BoringDay • 5 oktober 2014 16:58

Aparte gevolgtrekking en als jouw foutmarge ("ruim 5 a 8 jaar") hetzelfde is als die van het door jou bewierrookte clamxav dan mag men het ergste vrezen.

Nou komt clamxav ook echt niet heel best uit (een willekeurige~) test. Tenminste, als je 72% detectie "doet wat het moet doen" vindt:
http://www.reedcorner.net/mac-anti-virus-testing-2014/

Oké, niet helemaal willekeurig want Clam is lang niet in alle tests meegenomen, vanwege geschillen tussen de (makers/beheerders van-) verschillende versies.
Op zich een ander verhaal, maar al met al zou het mij geen veilig gevoel geven zoveel vertrouwen te hebben in een product van 1 enkel persoon op basis van een scanner die (vanwege zeer slechte resultaten) buiten tests gehouden moe(s)t worden.
Er wordt hier regelmatig gewezen op het matige presteren van Microsoft Security Essentials en dat is op basis van tests niet onredelijk maar het ophemelen van clamxav als goed alternatief voor macs doet de werkelijkheid ook geen eer aan.

ZpAz

Apple

@OkselFris • 5 oktober 2014 15:05

Dat advies van Apple, heb je daar een bron voor?

arjankoole

Apple

@CMD-Snake • 5 oktober 2014 13:18

Zou het niet beter zijn voor de Mac gebruiker om ook een AV pakket te kopen van een echte AV leverancier? Er zijn wel een aantal die pakketten maken voor OS X, ook van bekende leveranciers.

alle mac gebruikers die ik ken hebben gewoon een virusscanner aan boord van een van de reguliere aanbieders. Al was het maar dat je niet per ongeluk een besmet bestand doorgeeft aan iemand anders, terwijl die niets op je mac kan doen. ( laten we wel zijn, de meeste van dit soort rommel is gebouwd voor windows, en kan op een mac nooit wat aanrichten ). Daarom hadden we zelfs in de tijd van Mac OS 9 (ik bedoel dus OS 9, en niet OS X 10.9 Mavericks

) al virusscanners op de mac's draaien.

Rembert @CMD-Snake • 5 oktober 2014 22:31

Ik gebruik al anderhalf jaar een virusscanner op mijn mac. In eerste instantie Avast, kreeg wat performance issues, daarna Eset, ook wat issues, en nu Sophos. Werkt prima. Heel incidenteel een Mac trojan die voorbij komt, maar vooral Windows ellende: ik zie het als mijn verantwoordelijkheid om geen virussen door te sturen naar Windows gebruikers.

Kek 5 oktober 2014 13:02

Nouja vernieuwd.. de definities zijn bijgewerkt. Dit wordt altijd op de achtergrond gedaan.

SunnieNL

@Kek • 5 oktober 2014 22:38

vind het ook raar.. Dat dit nieuws is. Microsoft doet dit ook dagelijks...
Nieuws zou zijn als Apple het zou fixen of vertelt hoe dit kan gebeuren en wat ze er aan gaan doen...

Maurits van Baerle @SunnieNL • 6 oktober 2014 00:33

Er valt voor Apple weinig aan te fixen omdat er geen kwetsbaarheid in het OS of andere software gebruikt wordt. Het enige wat ze kunnen doen is de signature van de trojan toe te voegen aan de lijst met malware die het OS automatisch blokkeert.

Het is geen virus of worm die zichzelf verspreidt, het is een trojan die het slachtoffer zelf moet downloaden, dan moet installeren door een waarschuwing over een niet-gesigned bestand weg te klikken en daarna het admin wachtwoord in te voeren.

Natuurlijk, ze zouden het onmogelijk kunnen maken om software van buiten hun eigen Mac App Store te installeren maar ik denk niet dat veel mensen daar blij mee worden.

SunnieNL

@Maurits van Baerle • 6 oktober 2014 08:45

Zover ik weet heeft Apple nog niet bekend gemaakt hoe de worm zich verspreidt.
Een Worm hoeft niet per definitie door de gebruiker zelf geinstalleerd te worden en/of kan zichzelf verspreiden zonder dat de gebruiker iets doet. Het kan dus nog steeds gebruik maken van iets in het OS wat niet klopt. Zie ook http://www.symantec.com/avcenter/reference/worm.vs.virus.pdf

Maurits van Baerle @SunnieNL • 6 oktober 2014 09:21

Er is al best veel duidelijk, onder andere dat het geen worm of virus is en zichzelf niet kan verspreiden. Het is een trojan die het slachtoffer zelf moet downloaden.

Het is nog niet zeker of het de enige vector is (ik sluit niet uit dat er meer warez gevonden zullen worden met de trojan) maar wat we wel weten is dat er een gebruiker met de naam 'aceprog' op The Pirate Bay is die het verspreidt in een versie van Adobe Photoshop CC2014. De Adobe installatie executable is aangepast door deze trojan er aan toe te voegen. Daarom krijg je bij het installeren ook de waarschuwing dat het bestand niet de juiste signature heeft. OS X merkt dat er mee geknoeid is.

Hier heb je een aardig begin van de speurtocht: http://www.thesafemac.com/iworm-method-of-infection-found/

[Reactie gewijzigd door Maurits van Baerle op 22 juli 2024 21:58]

Luxx @Kek • 5 oktober 2014 13:52

Apple maakt prima producten, prima software, maar daarnaast hebben ze een sterke community en geniale PR afdeling. Dus dan is het updaten van virusdefinities + gewoon wereldwijd frontpage nieuws!

Ik blijf het knap vinden hoe Apple dit organiseert. Nu weet ik dat het artikel zegt dat deze update 'stilletjes' gedaan is. Maar macrumors krijgt natuurlijk veel nieuwsberichten 'stilletjes' rechtstreeks vanuit het hoofdkantoor. Of het bewust gaat of niet weet ik niet (al vermoed ik van wel), het resultaat is dat Apple nieuws altijd 10x zoveel aandacht krijgt als al het andere.

Verwijderd @Luxx • 5 oktober 2014 15:53

Nee, het is de media en vervolgens alle reageerders op fora zoals deze die voor de aandacht zorgen. Een artikel hoeft maar de naam "Apple" te bevatten en iedereen wil reageren. Bij alle anti-Apple figuren komen dan ook meteen weer alle emotionele frustraties naar boven (het blijft me verbazen hoe mensen zo emotioneel kunnen reageren op bedrijven en producten waar ze in principe helemaal niets mee te maken hebben).

Kortom: als niemand reageert op een artikel over Apple is er ook geen mediahype.

mareck1 @Verwijderd • 5 oktober 2014 16:09

Mensen die in ieder bericht over Apple lopen te klagen dat deze zo'n geniale marketing afdeling hebben waardoor iedere nieuwssite maar berichten blijft posten moeten inderdaad beseffen dat ze zelf verantwoordelijk zijn voor het hoge aantal Apple berichten.

Elk bericht waarin het woord Apple voorkomt triggered (met name) de grote massa "haters" die zonodig hun mening willen ventileren. Een site zoals tweakers ziet in hun statistieken vervolgens dat er veel kliks en veel reacties zijn op dit soort berichten. Tweakers speelt dus eigenlijk gewoon in op deze enorme behoefte aan Apple nieuws.

Luxx @Verwijderd • 5 oktober 2014 16:27

De community, (van lovers én haters) en de vele media aandacht, zijn allemaal het resultaat van een PR-apparaat.

PR houdt events, voert haters/lovers, etc. Mensen gaan 'geloven' in Apple, als het gevolg van. geloof verbindt de community, in haat/liefde, en Media voedt de mensen om wat te verdienen (geef de mensen wat ze horen). Het is allemaal hetzelfde, en niet van elkaar los te koppelen Appel PR voedt het via nieuwsberichten of via 'leaks'. Mensen smullen er van, en 'de media' profiteert ervan. Jij kan verbaasd zijn dat mensen zo emotioneel worden van een stukje techniek; ik denk dat dit komt omdat er een leger pr-psychologen zorgt dat deze emotie wordt aangewakkerd.

Ik ben er van overtuigd dat niemand hier meer baat bij heeft dan Apple, en dat dit daarom door niemand meer gevoerd en geregisseerd wordt dan door Apple. Natuurlijk spelen media en 'mensen' hier ook een rol, maar de bron blijft in mijn ogen Apple.

Begrijp mijn post(s) overigens niet als geklaagd. Ik heb diep respect voor het Apple imperium. Ik ben zelf geen gebruiker, maar wat ze voor elkaar krijgen in de IT wereld de meest serieuze aanval op de 'wintel dominantie', is natuurlijk gigantisch. Ik hoop daarom ook serieus dat Apple lekker doorgaat (totdat ze natuurlijk te groot worden).

Kek @Luxx • 5 oktober 2014 14:17

Apple stuurt daar niets voor rond hoor, dit wordt door een willekeurig persoon ontdekt en vervolgens is het groot nieuw omdat apple iets heeft veranderd. Vooral de verwoording die gebruikt wordt ergert mij, en dat komt niet van apple, maar in dit geval van Bauke dit dit stukje "nieuws" heeft geschreven.

freaq @Kek • 5 oktober 2014 18:08

en toch lees jij en comment jij zelfs op dit nieuws...
kortom je vondt het je tijd waard om deze investering te doen...
en dat is precies wat tweakers wil, want dat betekent dat jij naar advertenties kijkt (tenzij je natuurlijk adblockt, wat tweakers niet waardeert...

kortom je maakt zelf de markt voor deze artikels,
geen interesse dan vooral niet klikken... anders komt er meer van.

Darkstriker @freaq • 6 oktober 2014 00:20

Wat het ook betekent is dat je tweakers in het vervolg minder serieus neemt wat weer tot minder kliks leidt. Dus helemaal niet wensenlijk.

Misschien had je het gemist, maar zelfs facebook heeft door dat dit soort aandachttrekkerij niet wenselijk is voor hun en zij filteren nu actief van dat soort "wannabe" dingen uit je nieuwsfeed. Tweakers zou er goed aan doen om zich daaraan een voorbeeld te nemen. Want ik denk dat de quality control afdeling van facebook het toch net iets beter op een rijtje heeft dan die van tweakers.

Apple heeft een update voor zn virus definities uitgebracht. Whoop-die-fucking-doo. Noem het dan zoals het is en zet het in de fucking meuk-tracker (zoals alle andere definitieupdates ook)

jeffhuys @Kek • 5 oktober 2014 16:08

Ik snap niet dat jullie er zo op tegen zijn. Ik hoorde het nieuws van het botnet, en dat was (tot nu dus) het enige wat ik ervan had gehoord. Nu weten mensen dat het is opgelost. Wat, wil je alleen de slechte dingen over Apple horen?

Kek @jeffhuys • 5 oktober 2014 16:12

Nee ik wil dit nieuws graag horen, wat ik probeerde te vertellen is dat Tweakers, net als zo veel andere nieuws websites en andere media al het nieuws over apple zo ontzettend hypen, en zoveel grootspraak gebruiken. Nieuws brengen is één ding, maar naar mijn idee wordt er met apple snel aan sensatienieuws gedaan..

Asitis @Kek • 5 oktober 2014 16:41

Ik snap wat je zegt. Vervolgens gaan mensen (hier) roepen dat Apple van elke scheet een nieuwsbericht maakt. Apple doet dat niet, de media doet dat. Omdat het gelezen wordt, omdat er dus kennelijk markt voor is.

torp @Kek • 5 oktober 2014 19:06

Ach, wat wordt er nou gehyped? Het botnet(je) was deze week even in het nieuws, en Tweakers meldt nu dat Apple het probleem heeft aangepakt. Dat is alles. Niks hype.

Helaas krijgen sommige lezers meteen een rood waas voor de ogen zodra ze "Apple" zien staan en dan begint het geklaag weer over dat sluwe mediageile bedrijf. Anderen barsten meteen los over privacy zodra ze iets over Google lezen. Pavlovreacties zijn het, meer niet.

Kek @torp • 5 oktober 2014 19:28

Lol, lees nog een keer wat ik heb gepost, het gaat niet om het nieuws an sich, want dat wil ik wel lezen, maar de manier waarop dit gebracht word.

En je "rant" over die waas, ik werk zelf voor het berijd en heb veel apple apple producten, dus die waas waar jij het over hebt, die zie ik eerder bij jou terug, maar dan over het fanboy/hater gedoe...

Verwijderd @Luxx • 5 oktober 2014 15:46

Apple maakt prima producten, prima software, maar daarnaast hebben ze een sterke community en geniale PR afdeling. Dus dan is het updaten van virusdefinities + gewoon wereldwijd frontpage nieuws!

Virus definities worden elke dag geüpdatet.
Het is de normaalste zaak van de wereld dat ze dit niet van de daken afschreeuwen, alleen omdat het Apple is moet de media hier speciaal nadruk op gelegd worden i.v.m. extra views op een nieuwsbericht.

[Remmes] @Verwijderd • 5 oktober 2014 17:12

Het gaat om een botnet op apparaten van Apple en beheerd word door posts op Reddit. Dat heb ik dus nog niet eerder gehoord en mag van mij betreft wel een bericht van worden genaakt dat Apple hier een "fix" voor heeft uitgebracht. Daarbij krijg Microsoft ook gewoon aandacht als men iets tegen botnets heeft gedaan. Maar iedereen moet maar weer gelijk haten op Apple terwijl Apple het nieuws niet op elke site plaatst.

kalikatief @[Remmes] • 5 oktober 2014 18:22

Dit soort misbruik van grote websites door malware is gewoon dagelijkse prak. Het is echt niets nieuws meer als je kijkt naar de grotere wereld der malware.

Het feit dat jij er niet eerder van gehoord hebt houdt niet in dat het opeens nieuwswaardiger is. Jij en ik horen van zo veel zaken nooit. Het betekent alleen dat in dit geval de Macmania alweer een goede insteek heeft gevonden om in het nieuws te komen.

Naar mijn mening is het best simpel. Als een Windows variant van een bepaald nieuws-item niet in het nieuws zou komen, dan moet een Mac variant er ook niet in komen.

[Remmes] @kalikatief • 5 oktober 2014 18:36

http://tweakers.net/zoeken?keyword=microsoft+botnet

Ik vind het dus prima, daarbij vertel mij dan eens even welke grote sites worden gebruikt voor het beheren van botnets?

[Reactie gewijzigd door [Remmes] op 22 juli 2024 21:58]

the_stickie @[Remmes] • 5 oktober 2014 19:09

Twitter en facebook werden alleszins al misbruikt om informatie van en naar bots te krijgen.

Huugje @[Remmes] • 6 oktober 2014 08:32

De keren dat Microsoft in het nieuws is geweest omdat ze iets tegen botnets hadden gedaan, was dat toch wel wat meer dan enkel het aanpassen van wat virus definities.

fantafriday @Luxx • 5 oktober 2014 19:21

Dus als een bedrijf goede software maakt verdienen ze een frontpage voor het bijwerken van 1 virus definitie? Zouden ze bij windows defender moeten doen. krijgen we 500+ frontpage berichten op een dag. (oke beetje overdreven, ken de cijfers niet uit mijn hoofd)

SoloH @Luxx • 5 oktober 2014 22:02

Jij gelooft ook in illuminatie zeker.
Een nieuwsartikel met Apple erin zorgt voor hits = inkomsten voor de nieuwsbrenger. Maar goed, als je een nieuwsbericht plaatst over een worm, is het ook wel netjes om te melden dat Apple er actie tegen heeft genomen.

Enai @Luxx • 5 oktober 2014 14:49

Al die artikelen in de techpers over het nut van een grote telefoon! Die columnisten die ofwel een wereld zien opengaan ofwel vinden dat de telefoon toch iets te cool, sorry, te groot is voor hen.

Ik las zelfs een artikel dat ruiterlijk toegaf dat Android-makers al eerder "geprobeerd" hadden een groot toestel te maken, maar dat ze "te vroeg" waren en dat nu (lees: de dag na de aankondiging van de 6 Plus) de tijd rijp was voor een nieuwe revolutie!!!!!!!!!!!!!!!!

Xieoxer 5 oktober 2014 13:06

Natuurlijk goede actie van Apple dat ze gelijk actie ondernemen om de malware te pletten, maar ik blijf toch met een vraag zitten. Moeten de beheerders van de website Reddit geen actie ondernemen? De lijst van botnetservers wordt via Reddit verspreid..

[Reactie gewijzigd door Xieoxer op 22 juli 2024 21:58]

Milmoor

@Xieoxer • 5 oktober 2014 13:10

Verspreiden en beheren zijn twee heel verschillende zaken. Je zou het botnet ook via een tweakers blog kunnen beheren. Het is heel moeilijk om te weten of een flamewar tussen twee partijen het aansturen van een botnet is, of dat het gewoon de zoveelste internet ruzie is

. Indien herkenbaar moet Reddit natuurlijk wat doen, maar ik denk dat dat niet eenvoudig is. Zeker gezien de flow daar.

Luxx @Milmoor • 5 oktober 2014 15:37

Reddit kan (en mag?) denk ik niet alle content screenen op verboden berichten, en ik vraag me ook sterk af 'wat' ze vervolgens met deze 'vreemde content' moeten doen, welke actie kan Reddit maken? en welk belang hebben zij erbij? Wat is er illegaal of verboden aan deze berichten?

Een van de slachtoffers zou aangifte moeten doen. Dan gaat de politie de computervredebreuk onderzoeken, en komen ze voor een 'huiszoeking' bij Reddit terecht... op weg naar de boeven. Maar dat gebeurt natuurlijk nooit tenzij dit botnet misbruikt is om de NSA aan te vallen ofzo.

[Reactie gewijzigd door Luxx op 22 juli 2024 21:58]

FreshMaker @Luxx • 5 oktober 2014 18:21

Waarom zou Reddit dat niet mogen ?
Ze hebben gewoon een verantwoordelijkheid in de artikelen die geplaatst worden.
Net zoals Tweakers screent op berichten die niet zijn toegestaan ( warez, verspreiding en aanet tot andere illegale activiteiten )
Rediit screent wel degelijk, hele breichtenque's verdwenen tijdens "the fappening" sterker, een hele subreddit werd gewoon gewiped.

Het probleem onstaat in dit geval, dat er lijsten en adressen worden verzonden in een groep die sowieso al vol staat met ipadressen ( minecraft servers ) en zodoende het niet snel opvalt wat er gaande is.
Reddit hoeft op zijn beurt niet elke server te checken op een mincraft installatie natuurlijk..

Zouden deze soort berichten in een subreddit als /r/humor of /r/darkrooms terechtkomen, dan vallen ze op, want zo grappig of spannend zijn ip / macadressen niet ( de macadressen van IPadapters )

Verwijderd @Xieoxer • 5 oktober 2014 13:12

>Moeten de beheerders van de website Reddit geen actie ondernemen?

Nee, dan kan je beter heel reddit afsluiten. Het is ook voor de admins te onpraktisch om alle mogelijke gevaren af te sluiten, en dat moet je ook niet willen met kinderporno als enige uitzondering. Het is al vrijwel onmogelijk om van elke subreddit en post te bepalen of het misschien gevaarlijk is, en mocht het toch een keer ontdekt worden, heeft het weinig nut om de posts in kwestie te verwijderen gezien de botnet al onschadelijk is gemaakt door de softwareupdates van het OS.

Zer0 @Verwijderd • 5 oktober 2014 13:50

en mocht het toch een keer ontdekt worden, heeft het weinig nut om de posts in kwestie te verwijderen

En blijkbaar heeft Reddit dat toch gedaan, en terecht, het bestaan was al bekend voor Apple de updates uitgerold had, dus het heeft wellicht geholpen in de bestrijding.

CMD-Snake @Xieoxer • 5 oktober 2014 13:11

Nee, Reddit verspreid de malware niet. De malware kan enkel op Reddit de IP adressen vinden van de C&C servers van het botnet.

Dit is gewoon een van de manieren waarop de criminelen hun botnet kunnen aansturen. Sommige trojans generen via een algoritme domeinnamen waar ze naar kijken, maar er was niet lang geleden ook al een paar trojans die hun instructies aanvankelijk ophaalde via een WoW forum dacht ik en eentje die naar bepaalde plaatjes zocht op het internet.

Het voordeel voor de botnet beheerders van zo zoeken op het internet is dat ze geen algortime hoeven te bedenken dat domeinnamen maakt, ze hoeven die ook niet te registreren zelf. Verder is er dan ook niet iets voor de AV bedrijven om de analyseren als die op zoek gaan naar de C&C servers.

Enai @Xieoxer • 5 oktober 2014 14:52

Het blijft ironisch dat juist Reddit gebruikt wordt om data voor bots te verspreiden, gezien het imago van de Reddit-community ("circlejerk", "karma whoring", "the swarm").

FreshMaker @Enai • 5 oktober 2014 18:23

vergeet de belangrijkste niet
"the frontpage of the internet"

Ieder zijn ding, ik kom er toch wel graag ... voor diverse dingen

walkstyle 5 oktober 2014 17:25

Heeft Linux hier eigenlijk last van of van iets als dit ?

the-dark-force @walkstyle • 5 oktober 2014 18:18

nee, deze malware is gericht op osx.
Het is wel mogelijk om malware te maken voor een ander O.S. dat op dezelfde manier i.p. adressen van c&c servers opvraagt.

Dorank @walkstyle • 5 oktober 2014 22:27

Er is niets in Linux wat je tegen een dergelijke "infectie" door menselijk handelen zou beschermen. Mits de infectie bron inderdaad iets als een illegale download van een "Adobe" product incl trojan welke je met elevated priveleges installeert.

Kern 5 oktober 2014 19:25

Waarom hebben ze deze update stilletjes naar buiten gebracht terwijl het net bekend is gemaakt aan de hele wereld over de reddit botnet malware?
Dan maak je er toch een officieel bericht van zodat de mensheid weet dat je hier meteen iets aan doet en dat geeft je bedrijf een goede naam.
Of zijn ze bang dat ze met zo een bericht mensen juist meer uitdagen om malwares te maken voor Apple?

Anyway goodjob dat ze er zo snel iets aan hebben gedaan.

jqv @Kern • 5 oktober 2014 20:15

Omdat ze anders toegeven dat Macs ook kwetsbaar zijn voor malware. Terwijl dit jaren de sterkte was van MacOS en de zwakte van Windows.

Dus oplossen en snel verzwijgen.

Maurits van Baerle @Kern • 5 oktober 2014 20:53

Wat wil je dan, voor iedere malwaredefinitie die een bedrijf uitbrengt een heel mediacircus?

Bovendien, dit was nou ook weer niet zo'n groot probleem. 17.000 geinfecteerde machines is in de botnet wereld amper de moeite waard, het was meer een proof of concept.

Het is ook niet zo vreemd natuurlijk, bij grote botnetinfecties heb je meestal zwaktes in het onderliggende OS of populaire zaken die daar bovenop liggen zoals Flash of Java. Daardoor zijn er potentieel tientallen miljoenen machines kwetsbaar die je alleen moet zien te bereiken als botnet.

In dit geval is er geen sprake van een kwetsbaarheid in de onderliggende software maar moeten de slachtoffers zelf de trojan downloaden en installeren door het invoeren van het admin wachtwoord. Aangezien het geen worm of virus is verspreidt hij zichzelf ook niet automatisch. Het aantal potentiele slachtoffers is dus erg beperkt en een simpele update van de definities is dus voldoende.

[Reactie gewijzigd door Maurits van Baerle op 22 juli 2024 21:58]

Eloy 5 oktober 2014 19:07

Maar wat als de malware zichzelf nu encrypt? Werkt het matchen van een string dan nog steeds?

BikkelZ @Eloy • 5 oktober 2014 19:40

Die naam is een naam die antivirus bedrijven aan een virus geven.

Pwuts 5 oktober 2014 14:25

En nu wachten tot iWorm hier ook weer iets op vindt. Jammer genoeg is dit een oorlog die nooit zal ophouden: Hackers+virussen vs Antivirus+Antimalware. In de tijd dat iedereen nog z'n eigen programma's schreef had je nooit virussen, tenzij je die zelf programmeerde.

[Reactie gewijzigd door Pwuts op 22 juli 2024 21:58]

Dreamvoid @Pwuts • 5 oktober 2014 19:06

Je bedoelt, toen mensen nog met mainframes en ponskaarten werkten? Want virussen, daar had ik al halverwege de jaren 80 last van. Bootsector virussen op 5.25" floppies, enzo.

Pwuts @Dreamvoid • 5 oktober 2014 22:11

Ik bedoel de tijd (van mn ouders gehoord) dat je een boek had met code die je op je computer kon invoeren en zo een programma maken dat je dan 1 keer kon gebruiken. De volgende keer moest je het weer opnieuw programmeren.

jqv @Pwuts • 5 oktober 2014 20:18

En was de wirwar niet te overzien.
Enkele standaardprogramma's hebben het voordeel dat ze bepaalde standaarden als IPv4 ondersteunen. Om met duizenden te bepalen wat een standaard is, zou ontwikkeling van bijvoorbeeld het internet en WiFi in de weg staan.

Mavamaarten @Ririshi • 5 oktober 2014 13:10

Spel- en tikfoutjes - en dus *geen* andere foutjes - deel 42

Ririshi @Mavamaarten • 5 oktober 2014 13:21

Hartelijk bedankt.

Op dit item kan niet meer gereageerd worden.

Apple vernieuwt antimalwaresoftware tegen via Reddit beheerd botnet

Lees meer

Reacties (89)

Sorteer op:

Weergave: