Macs zijn toch gevoeliger voor een griepje dan vaak hier wordt verteld.
bron: https://secure.security.nl/artikel/41007/1/600.000_Macs_besmet_met_Trojaans_paard.html
QuoteHet Trojaanse paard dat zich via een lek in Java verspreidt heeft meer dan 600.000 Macs geïnfecteerd. Dat meldt Sorokin Ivan het Russische anti-virusbedrijf DrWeb op Twitter. Het gaat om de Flashback Trojan die al geruime tijd actief is. De bende achter de malware begon een aantal maanden geleden met het misbruiken van Java-lekken die Mac-gebruikers niet gepatcht hadden. Vanaf 16 maart werd er echter een lek gebruikt waarvoor Apple nog geen update had uitgebracht. Deze kwetsbaarheid werd door Oracle, eigenaar van Java, halverwege februari gepatcht. Apple wachtte zeven weken en kwam op 3 april met de noodzakelijke patch.
Om Mac-computers waarop Java is geïnstalleerd te infecteren, worden websites gehackt en voorzien van exploit-code. Deze exploit-code controleert de Java-versie en misbruikt vervolgens een lek als dat aanwezig is. Via dat lek wordt de Flashback Trojan geïnstalleerd. Daarbij wordt er niet om een wachtwoord gevraagd, wat betekent dat de malware zich geruisloos op de computer nestelt.
Infecties
Java-applets waardoor de malware zich verspreidt, hebben niet te maken met Mac OS X's quarantaine systeem. Dat betekent dat Mac-gebruikers geen waarschuwingsvenster krijgen als een Java-applet als object van een webpagina wordt gedownload. Hierdoor weet de malware ook Apple's ingebouwde virusscanner Xprotect te omzeilen, aangezien die geen objecten in webpagina's scant. De exploitcode die Mac-gebruikers infecteert zou op meer dan vier miljoen gehackte webpagina's zijn aangetroffen.
De meeste besmette Macs bevinden zich in de Verenigde Staten, waarbij er 274 bots in Cupertino zijn gelokaliseerd. De stad waar het Apple hoofdkantoor zich bevindt. In eerste instantie rapporteerde DrWeb dat er 550.000 machines besmet waren, waarvan 0,2% zich in Nederland bevinden, wat op 1.100 machines uitkomt.
Update 10:20
Hoewel er twijfels over de cijfers van DrWeb zijn, is het belangrijkste volgens beveiligingsexpert Adrian Sanabria dat Mac-gebruikers met een vals gevoel van veiligheid zijn opgezadeld. "Apple's marketing is tenminste deels hiervoor verantwoordelijk." F-Secure heeft op deze pagina instructies staan hoe de malware te verwijderen is.
Update 15:13
Er schijnt verwarring over de functie van de malware te zijn. Volgens Ivan is het de Flashback Trojan niet te doen om het stelen van wachtwoorden, zoals beveiligingsbedrijf Intego beweert, maar is de malware ontwikkeld om zoekverkeer te kapen.
Update 16:26
De Flashback Trojan gebruikt het MAC-adres van besmette computers als user-agent als er met de Command & Control-server verbinding wordt gemaakt. Naar alle waarschijnlijkheid heeft Dr.Web deze adressen geteld. "De cijfers lijken echt", aldus Mikko Hypponen van het Finse F-Secure. Volgens de Fin zijn er zo'n 45 miljoen Macs in omloop, wat betekent dat 1,3% van de totale Mac-populatie is geïnfecteerd.
Quote from: Erik on April 6, 2012, 11:40:34
Macs zijn toch gevoeliger voor een griepje dan vaak hier wordt verteld.
bron: https://secure.security.nl/artikel/41007/1/600.000_Macs_besmet_met_Trojaans_paard.html
Storm in glas water, trojaanspaard is ook wat anders als een virus.
Overigens is op tweakers wat dieper erop ingegaan en bleek dat plots usernames en wachtwoorden door de exploit werd gevraagd alvorens de exploit op je Mac actief zou worden. Dus als je te pas en te onpas dit zonder te verifieren uitvoert vraag je er ook wel een beetje om.
Dat een Mac niet vogelvrij is is overigens wel logisch, maar de kans op besmetting is aanzienlijk geringer.
Belangrijker dan eventuele discussies is om te kunnen checken of de Trojan op je Mac staat. Dat kun je doen met onderstaande opdrachten in de Terminal. Als in beide gevallen er als uitkomst is: ".... does not exist", dan is de Trojan niet aanwezig en kun je gerust zijn. Draai wel de laaste Java updates van Apple die dit veiligheidsrisico aanpakt.
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
Mocht je wel besmet zijn, dan kun je hier lezen (http://www.f-secure.com/v-descs/trojan-downloader_osx_flashback_i.shtml) hoe je hem moet verwijderen. Hou er rekening mee dat ook na verwijdering er nog schade kan zijn, aangezien deze trojan zich kopieert naar andere Java applicaties.
Terminal?...waar kan ik dat vinden?
In de map Hulpprogramma's.
Quote from: Audiofiel on April 6, 2012, 12:25:17
In de map Hulpprogramma's.
Thx
Geprobeerd en deze is schoon ;) ;)
Quote from: WickedGame on April 6, 2012, 11:53:16
Dat een Mac niet vogelvrij is is overigens wel logisch, maar de kans op besmetting is aanzienlijk geringer.
Ik vermoed dat je kogelvrij bedoelde :D
Grootste gevaar bij Apple is dat de gebruikers niet al te PC savvy zijn en dus waarschijnlijk makkelijker blind doorklikken t.o.v. de wat meer geharde Windows gebruikers.
Quote from: Audiofiel on April 6, 2012, 12:25:17
In de map Hulpprogramma's.
Hier ook geen ongewenste paarden...
Schijnt in NL ook niet veel voor te komen las ik. Missch meer in de US of A gezien het gemiddelde hamburgerIQ daar? ;D :clapping:
Ik weet het, dit is erg fout!
Quote from: neptune on April 6, 2012, 13:33:36
Hier ook geen ongewenste paarden...
Schijnt in NL ook niet veel voor te komen las ik. Missch meer in de US of A gezien het gemiddelde hamburgerIQ daar? ;D :clapping:
Ik weet het, dit is erg fout!
Gevaar is al erg klein omdat de controller al uitgeschakeld is en apple de updates aan het uitsturen is. Apple is zeker niet ongevoelig voor virus/trojans maar het verschil is of je huis in harte amsterdam staat of in een dorpje in groningen om een veelvoud van technische en niet technische redenen is de kans op problemen gewoon kleiner maar daar zit ook het gevaar.
Wat ik niet helemaal snap is waarom oa Erik alles wat maar mogelijk negatief is over apple te posten beetje vreemde hobby. Maar goed misschien is het wel aan de hand hiervan het verschil te merken stel Erik zou voor elke windows virus/trojan een post op dit forum doen aan was die al jaren verwijderd voor spammen :).
Persoonlijk denk ik dat we op de mac nog steeds beter geen virus checker kunnen gebruiken maar het wordt wel belangrijker om voorzichtig te zijn en fam. te waarschuwen niet zomaar wachtwoorden in te geven en goed op te letten als er iets ontdekt wordt. Dit is jammer maar helaas een gevolg van het groeiende aantal mac machines.
Daniel.
Klopt Danielo ik vind het ook leuk om te posten, ten eerste om de bekende fanboys te stangen die dan compleet over de rooie gaan.
Ik zal geen namen noemen :D
Ten tweede vind ik dat naast alle hallaluya berichten over hoe geweldig Apple/OsX er best wel wat tegen gas gegeven mag worden.
Als dat niet mag volgens de forumregels dan mag een mod me hierop aanspreken en zal ik dat niet meer doen, dien een klacht in misschien is het je geluksdag en word ik monddood gemaakt.
Je zit op een forum en op een vrij forum mag gelukkig iedereen zijn mening visie of quote delen. Als je er niet tegen kan lees het dan niet, ik sla ook zat topics over vanwege personen of onderwerpen.
Vroeger kreeg ik overigens hetzelfde verwijt toen ik net beginnend firefox fan begon over de zoveelste viri, malware voor IE.
Lijkt wel of men liever de boodschapper het zwijgen oplegt zodat men kan ontkennen dan dat er misschien ergens iets mis is en er wat aan gaat doen.
edit: foutje in naam weggehaald staat zo slordig sorry Danielo
Quote from: Erik on April 6, 2012, 14:04:37
Klopt Danielle ik vind het ook leuk om te posten, ten eerste om de bekende fanboys te stangen die dan compleet over de rooie gaan. Is altijd leuk :D
Ik zal geen namen noemen :D
Ten tweede vind ik dat naast alle hallaluya berichten over hoe geweldig Apple/OsX er best wel wat tegen gas gegeven mag worden.
Als dat niet mag volgens de forumregels dan mag een mod me hierop aanspreken en zal ik dat niet meer doen, dien een klacht in misschien is het je geluksdag en word ik monddood gemaakt.
Je zit op een forum en op een vrij forum mag gelukkig iedereen zijn mening visie of quote delen. Als je er niet tegen kan lees het dan niet, ik sla ook zat topics over vanwege personen of onderwerpen.
Vroeger kreeg ik overigens hetzelfde verwijt toen ik net beginnend firefox gebruiker begon over de zoveelste viri, malware voor IE.
Lijkt wel of men liever de boodschapper het zwijgen oplegt zodat men kan ontkennen dat er misshcien ergens iets mis is en er wat aan gaat doen.
Je moet vooral doen wat je wil, ik gaf dit als voorbeeld niet om je het zwijgen op te leggen maar om juist aan te geven dat het (nog) zo weinig voorkomt dat het het posten blijkbaar waard is. Het vreemde is dat zover ik tenminste zie vrijwel geen 1 apple 'fan' hier zegt dat dingen niet waar zijn alleen dingen in een relatief kader plaatsen.
Ga vooral door met ons 'opvoeden' want blijkbaar hebben we tegengas nodig, de meeste apple gebruikers zijn blijkbaar veel te tevreden over het algemeen dat uitzonderingen extra moeten worden benadrukt om ons niet uit elkaar te laten spatten van blijdschap :).
Daniel.
Erik, jij hebt ook wel een Ios of Apple apparaat toch?
Kom nou toch eens uit de (windows-) kast man :D :laugh:
Quote from: neptune on April 6, 2012, 14:38:28
Erik, jij hebt ook wel een Ios of Apple apparaat toch?
Kom nou toch eens uit de (windows-) kast man :D :laugh:
Yep ik heb er zelfs twee :o een iPad en iPhone, erg he :D
Quote from: Erik on April 6, 2012, 14:46:29
Yep ik heb er zelfs twee :o een iPad en iPhone, erg he :D
Welcome bij the 'apple fanboys club'
;D
Quote from: neptune on April 6, 2012, 14:48:51
Welcome bij the 'apple fanboys club'
;D
Note to self bij volgende HT BBQ neptune levend roosteren >:(
:D
Met dank aan Arjan gecheckt:
Last login: Thu Apr 5 21:50:21 on console
iMac:~ R$ defaults read /Applications/Safari.app/Contents/Info LSEnvironment
2012-04-06 15:12:33.679 defaults[2469:903]
The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist
iMac:~ R$ defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
2012-04-06 15:12:51.849 defaults[2470:903]
The domain/default pair of (/Users/R/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist
Hier een grafisch overzicht van de geschatte infectie:
Quote from: Peerless Monster on April 6, 2012, 15:14:33
Met dank aan Arjan gecheckt:
Last login: Thu Apr 5 21:50:21 on console
iMac:~ R$ defaults read /Applications/Safari.app/Contents/Info LSEnvironment
2012-04-06 15:12:33.679 defaults[2469:903]
The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist
iMac:~ R$ defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
2012-04-06 15:12:51.849 defaults[2470:903]
The domain/default pair of (/Users/R/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist
Wist niet dat jij een Mac had :)
Quote from: Audiofiel on April 6, 2012, 12:18:28
Belangrijker dan eventuele discussies is om te kunnen checken of de Trojan op je Mac staat. Dat kun je doen met onderstaande opdrachten in de Terminal. Als in beide gevallen er als uitkomst is: ".... does not exist", dan is de Trojan niet aanwezig en kun je gerust zijn. Draai wel de laaste Java updates van Apple die dit veiligheidsrisico aanpakt.
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
Mocht je wel besmet zijn, dan kun je hier lezen (http://www.f-secure.com/v-descs/trojan-downloader_osx_flashback_i.shtml) hoe je hem moet verwijderen. Hou er rekening mee dat ook na verwijdering er nog schade kan zijn, aangezien deze trojan zich kopieert naar andere Java applicaties.
Dank AF voor deze handige tip. Ik was gelukkig clean.
Quote from: Perfectionist on April 6, 2012, 16:21:16
Dank AF voor deze handige tip. Ik was gelukkig clean.
Idem :) CLEAN! :D
Bedankt AF :worship: :worship:
Ikke ook clean
Dank voor de info
Meteen maar de volgende vraag is het raadzaam om een anti virus programma aan te schaffen?
Zo ja welke?
Quote from: WickedGame on April 6, 2012, 16:18:13
Wist niet dat jij een Mac had :)
Als z/osser wil je alleen maar het beste van het beste ;).
Ook al is het eigenlijk unix ;).
2 imacs, 1 mac mini, 1 time capsule, 2 iphones, ipad 3 hier
Je kan wel stellen dat ik apple freak ben ;).
Heb net een 3 tb schijf in mijn imac van 2007 gezet. Werkt prima!
Quote from: Peerless Monster on April 6, 2012, 20:39:52
Als z/osser wil je alleen maar het beste van het beste ;).
Ook al is het eigenlijk unix ;).
2 imacs, 1 mac mini, 1 time capsule, 2 iphones, ipad 3 hier
Je kan wel stellen dat ik apple freak ben ;).
Heb net een 3 tb schijf in mijn imac van 2007 gezet. Werkt prima!
Kom ik net binnen in het wereldje van Mac met een Macbook Pro. Maar het bevalt mij tot nu toe prima. Okay heb nog een Ipad1
Quote from: WickedGame on April 6, 2012, 20:46:31
Kom ik net binnen in het wereldje van Mac met een Macbook Pro. Maar het bevalt mij tot nu toe prima. Okay heb nog een Ipad1
Oh dat groeit met de jaren :)
Quote from: Peerless Monster on April 6, 2012, 20:53:12
Oh dat groeit met de jaren :)
Moet toegeven het bevalt mij tot nu toe wel.
Voor wie zijn updates nog niet geinstalleerd heeft, toch maar eens overwegen voor het te laat is ;)
bron: www.tweakers.net
QuoteEr is een nieuwe variant van de Flashback-malware, die Mac-gebruikers blijft teisteren. De nieuwe versie van de trojan vereist geen gebruikersinput meer. Uit recente cijfers blijkt dat nog steeds rond de 600.000 gebruikers besmet zijn.
De nieuwe variant, Flashback.S, is een aangepaste versie van de Flashback-malware die begin april uitbrak. Het gebruikt nog steeds hetzelfde lek in Java, dat door Apple op 12 april gedicht werd, meldt antivirusbedrijf Intego. In tegenstelling tot de voorganger werkt de variant echter volledig zonder input van de gebruiker; de malware installeert zich geruisloos zonder dat een wachtwoord nodig is.
Wanneer de malware geïnstalleerd is in de locaties '~/Library/LaunchAgents/com.java.update.plist' en '~/.jupdate' verwijdert hij alle bestanden in Java's cache. Daarmee vermijdt de trojan ontdekt te worden door Apples ingebouwde antimalware-software. De malware kan wel worden opgepikt door de verschillende antiviruspakketten voor OS X die de virusdefinities voor de oorspronkelijke Flashback-versie bevatten. Uit onderzoek bleek dat de malware werd verspreid via gecompromitteerde Wordpress-blogs.
Gebruikers die de patch van Apple tegen het lek in Java hebben geïnstalleerd zijn niet vatbaar voor deze variant, maar het aantal gepatchte computers blijkt veel kleiner te zijn dan eerst werd becijferd. Eerder nog meldde Symantec dat het aantal geïnfecteerde Macs tot een vierde van de oorspronkelijke besmetting was gezakt, van 600.000 naar 140.000, maar die cijfers blijken incorrect te zijn.
DrWeb, het Russische antivirusbedrijf dat het Flashback-botnet ontdekte, becijferde dat nog steeds ongeveer 600.000 gebruikers besmet zijn met de malware. Symantec gaf nadien toe dat de cijfers van DrWeb correct waren. De rekenwijze van Symantec was niet correct, omdat de structuur van de Flashback-malware een andere rekenmethode vereist, die door DrWeb wel juist werd toegepast.
De Flashback-malware installeert zich in bepaalde programma's op OS X-computers, zoals Skype, om gevoelige gegevens van de gebruiker te onderscheppen. Apple krijgt met het uitbreken van de malware veel kritiek te verduren, omdat het laat reageerde op het probleem. Ook verwijt DrWeb Apple dat het niet communiceert of samenwerkt met de verschillende antivirusbedrijven.
Ik ben inmiddels onder honderden Nederlandse Mac-gebruikers nog geen één tegengekomen die een besmetting had...
...geeft toch te denken in hoeverre al deze berichten van de anti-virusbedrijven wel kloppen. ::)
berichten over virussen afkomstig van mensen die geld verdienen aan het bestaan van virussen neem ik sowieso altijd met behoorlijk veel zout