600.000 Macs besmet met Trojaans paard

Started by Erik, April 6, 2012, 11:40:34

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

Erik

Macs zijn toch gevoeliger voor een griepje dan vaak hier wordt verteld.

bron: https://secure.security.nl/artikel/41007/1/600.000_Macs_besmet_met_Trojaans_paard.html

QuoteHet Trojaanse paard dat zich via een lek in Java verspreidt heeft meer dan 600.000 Macs geïnfecteerd. Dat meldt Sorokin Ivan het Russische anti-virusbedrijf DrWeb op Twitter. Het gaat om de Flashback Trojan die al geruime tijd actief is. De bende achter de malware begon een aantal maanden geleden met het misbruiken van Java-lekken die Mac-gebruikers niet gepatcht hadden. Vanaf 16 maart werd er echter een lek gebruikt waarvoor Apple nog geen update had uitgebracht. Deze kwetsbaarheid werd door Oracle, eigenaar van Java, halverwege februari gepatcht. Apple wachtte zeven weken en kwam op 3 april met de noodzakelijke patch.

Om Mac-computers waarop Java is geïnstalleerd te infecteren, worden websites gehackt en voorzien van exploit-code. Deze exploit-code controleert de Java-versie en misbruikt vervolgens een lek als dat aanwezig is. Via dat lek wordt de Flashback Trojan geïnstalleerd. Daarbij wordt er niet om een wachtwoord gevraagd, wat betekent dat de malware zich geruisloos op de computer nestelt.

Infecties
Java-applets waardoor de malware zich verspreidt, hebben niet te maken met Mac OS X's quarantaine systeem. Dat betekent dat Mac-gebruikers geen waarschuwingsvenster krijgen als een Java-applet als object van een webpagina wordt gedownload. Hierdoor weet de malware ook Apple's ingebouwde virusscanner Xprotect te omzeilen, aangezien die geen objecten in webpagina's scant. De exploitcode die Mac-gebruikers infecteert zou op meer dan vier miljoen gehackte webpagina's zijn aangetroffen.

De meeste besmette Macs bevinden zich in de Verenigde Staten, waarbij er 274 bots in Cupertino zijn gelokaliseerd. De stad waar het Apple hoofdkantoor zich bevindt. In eerste instantie rapporteerde DrWeb dat er 550.000 machines besmet waren, waarvan 0,2% zich in Nederland bevinden, wat op 1.100 machines uitkomt.

Update 10:20
Hoewel er twijfels over de cijfers van DrWeb zijn, is het belangrijkste volgens beveiligingsexpert Adrian Sanabria dat Mac-gebruikers met een vals gevoel van veiligheid zijn opgezadeld. "Apple's marketing is tenminste deels hiervoor verantwoordelijk." F-Secure heeft op deze pagina instructies staan hoe de malware te verwijderen is.

Update 15:13
Er schijnt verwarring over de functie van de malware te zijn. Volgens Ivan is het de Flashback Trojan niet te doen om het stelen van wachtwoorden, zoals beveiligingsbedrijf Intego beweert, maar is de malware ontwikkeld om zoekverkeer te kapen.

Update 16:26
De Flashback Trojan gebruikt het MAC-adres van besmette computers als user-agent als er met de Command & Control-server verbinding wordt gemaakt. Naar alle waarschijnlijkheid heeft Dr.Web deze adressen geteld. "De cijfers lijken echt", aldus Mikko Hypponen van het Finse F-Secure. Volgens de Fin zijn er zo'n 45 miljoen Macs in omloop, wat betekent dat 1,3% van de totale Mac-populatie is geïnfecteerd.
"You have enemies? Good. That means you've stood up for something, sometime in your life."
- Winston Churchill

WickedGame

Quote from: Erik on April  6, 2012, 11:40:34
Macs zijn toch gevoeliger voor een griepje dan vaak hier wordt verteld.

bron: https://secure.security.nl/artikel/41007/1/600.000_Macs_besmet_met_Trojaans_paard.html


Storm in glas water, trojaanspaard is ook wat anders als een virus.

Overigens is op tweakers wat dieper erop ingegaan en bleek dat plots usernames en wachtwoorden door de exploit werd gevraagd alvorens de exploit op je Mac actief zou worden. Dus als je te pas en te onpas dit zonder te verifieren uitvoert vraag je er ook wel een beetje om.

Dat een Mac niet vogelvrij is is overigens wel logisch, maar de kans op besmetting is aanzienlijk geringer.

Audiofiel

Belangrijker dan eventuele discussies is om te kunnen checken of de Trojan op je Mac staat. Dat kun je doen met onderstaande opdrachten in de Terminal. Als in beide gevallen er als uitkomst is: ".... does not exist", dan is de Trojan niet aanwezig en kun je gerust zijn. Draai wel de laaste Java updates van Apple die dit veiligheidsrisico aanpakt.

defaults read /Applications/Safari.app/Contents/Info LSEnvironment

defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

Mocht je wel besmet zijn, dan kun je hier lezen hoe je hem moet verwijderen. Hou er rekening mee dat ook na verwijdering er nog schade kan zijn, aangezien deze trojan zich kopieert naar andere Java applicaties.
Men heeft nooit gebrek aan slechte redenen om het goede na te laten, noch aan goede om het slechte te doen.

Arno P


Audiofiel

Men heeft nooit gebrek aan slechte redenen om het goede na te laten, noch aan goede om het slechte te doen.

Arno P


Erik

Quote from: WickedGame on April  6, 2012, 11:53:16
Dat een Mac niet vogelvrij is is overigens wel logisch, maar de kans op besmetting is aanzienlijk geringer.
Ik vermoed dat je kogelvrij bedoelde  :D
"You have enemies? Good. That means you've stood up for something, sometime in your life."
- Winston Churchill

Raphie

Grootste gevaar bij Apple is dat de gebruikers niet al te PC savvy zijn en dus waarschijnlijk makkelijker blind doorklikken t.o.v. de wat meer geharde Windows gebruikers.
JBL PRX Power!

neptune

Quote from: Audiofiel on April  6, 2012, 12:25:17
In de map Hulpprogramma's.
Hier ook geen ongewenste paarden...
Schijnt in NL ook niet veel voor te komen las ik. Missch meer in de US of A gezien het gemiddelde hamburgerIQ daar? ;D :clapping:
Ik weet het, dit is erg fout!
zet hier iets neer

danielo

Quote from: neptune on April  6, 2012, 13:33:36
Hier ook geen ongewenste paarden...
Schijnt in NL ook niet veel voor te komen las ik. Missch meer in de US of A gezien het gemiddelde hamburgerIQ daar? ;D :clapping:
Ik weet het, dit is erg fout!

Gevaar is al erg klein omdat de controller al uitgeschakeld is en apple de updates aan het uitsturen is. Apple is zeker niet ongevoelig voor virus/trojans maar het verschil is of je huis in harte amsterdam staat of in een dorpje in groningen om een veelvoud van technische en niet technische redenen is de kans op problemen gewoon kleiner maar daar zit ook het gevaar.

Wat ik niet helemaal snap is waarom oa Erik alles wat maar mogelijk negatief is over apple te posten beetje vreemde hobby. Maar goed misschien is het wel aan de hand hiervan het verschil te merken stel Erik zou voor elke windows virus/trojan een post op dit forum doen aan was die al jaren verwijderd voor spammen :).

Persoonlijk denk ik dat we op de mac nog steeds beter geen virus checker kunnen gebruiken maar het wordt wel belangrijker om voorzichtig te zijn en fam. te waarschuwen niet zomaar wachtwoorden in te geven en goed op te letten als er iets ontdekt wordt. Dit is jammer maar helaas een gevolg van het groeiende aantal mac machines.

Daniel.
denon avp/poa, b&w 802d2 - htm2d, jvc x500, dvdo vp50pro, apple, rel.

Erik

#10
Klopt Danielo ik vind het ook leuk om te posten, ten eerste om de bekende fanboys te stangen die dan compleet over de rooie gaan.
Ik zal geen namen noemen  :D
Ten tweede vind ik dat naast alle hallaluya berichten over hoe geweldig Apple/OsX er best wel wat tegen gas gegeven mag worden.

Als dat niet mag volgens de forumregels dan mag een mod me hierop aanspreken en zal ik dat niet meer doen, dien een klacht in misschien is het je geluksdag en word ik monddood gemaakt.

Je zit op een forum en op een vrij forum mag gelukkig iedereen zijn mening visie of quote delen. Als je er niet tegen kan lees het dan niet, ik sla ook zat topics over vanwege personen of onderwerpen.
Vroeger kreeg ik overigens hetzelfde verwijt toen ik net beginnend firefox fan begon over de zoveelste viri, malware voor IE.

Lijkt wel of men liever de boodschapper het zwijgen oplegt zodat men kan ontkennen dan dat er misschien ergens iets mis is en er wat aan gaat doen.

edit: foutje in naam weggehaald staat zo slordig sorry Danielo
"You have enemies? Good. That means you've stood up for something, sometime in your life."
- Winston Churchill

danielo

Quote from: Erik on April  6, 2012, 14:04:37
Klopt Danielle ik vind het ook leuk om te posten, ten eerste om de bekende fanboys te stangen die dan compleet over de rooie gaan. Is altijd leuk  :D
Ik zal geen namen noemen  :D
Ten tweede vind ik dat naast alle hallaluya berichten over hoe geweldig Apple/OsX er best wel wat tegen gas gegeven mag worden.

Als dat niet mag volgens de forumregels dan mag een mod me hierop aanspreken en zal ik dat niet meer doen, dien een klacht in misschien is het je geluksdag en word ik monddood gemaakt.

Je zit op een forum en op een vrij forum mag gelukkig iedereen zijn mening visie of quote delen. Als je er niet tegen kan lees het dan niet, ik sla ook zat topics over vanwege personen of onderwerpen.
Vroeger kreeg ik overigens hetzelfde verwijt toen ik net beginnend firefox gebruiker begon over de zoveelste viri, malware voor IE.

Lijkt wel of men liever de boodschapper het zwijgen oplegt zodat men kan ontkennen dat er misshcien ergens iets mis is en er wat aan gaat doen.

Je moet vooral doen wat je wil, ik gaf dit als voorbeeld niet om je het zwijgen op te leggen maar om juist aan te geven dat het (nog) zo weinig voorkomt dat het het posten blijkbaar waard is. Het vreemde is dat zover ik tenminste zie vrijwel geen 1 apple 'fan' hier zegt dat dingen niet waar zijn alleen dingen in een relatief kader plaatsen.

Ga vooral door met ons 'opvoeden' want blijkbaar hebben we tegengas nodig, de meeste apple gebruikers zijn blijkbaar veel te tevreden over het algemeen dat uitzonderingen extra moeten worden benadrukt om ons niet uit elkaar te laten spatten van blijdschap :).

Daniel.
denon avp/poa, b&w 802d2 - htm2d, jvc x500, dvdo vp50pro, apple, rel.

neptune

Erik, jij hebt ook wel een Ios of Apple apparaat toch?
Kom nou toch eens uit de  (windows-) kast man :D :laugh:
zet hier iets neer

Erik

Quote from: neptune on April  6, 2012, 14:38:28
Erik, jij hebt ook wel een Ios of Apple apparaat toch?
Kom nou toch eens uit de  (windows-) kast man :D :laugh:
Yep ik heb er zelfs twee  :o een iPad en iPhone, erg he  :D

"You have enemies? Good. That means you've stood up for something, sometime in your life."
- Winston Churchill

neptune

Quote from: Erik on April  6, 2012, 14:46:29
Yep ik heb er zelfs twee  :o een iPad en iPhone, erg he  :D
Welcome bij the 'apple fanboys club'


;D
zet hier iets neer

Erik

#15
Quote from: neptune on April  6, 2012, 14:48:51
Welcome bij the 'apple fanboys club'
;D
Note to self bij volgende HT BBQ neptune levend roosteren   >:(


:D
"You have enemies? Good. That means you've stood up for something, sometime in your life."
- Winston Churchill

Peerless Monster

Met dank aan Arjan gecheckt:


Last login: Thu Apr  5 21:50:21 on console
iMac:~ R$ defaults read /Applications/Safari.app/Contents/Info LSEnvironment
2012-04-06 15:12:33.679 defaults[2469:903]
The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist
iMac:~ R$ defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
2012-04-06 15:12:51.849 defaults[2470:903]
The domain/default pair of (/Users/R/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist
Classe Omega MKII | Audio Research SP-11 | ARC VT130SE | PS Audio BHK 250 | PS Audio P10 | PS Audio Perfectwave DSD DAC  | PS Audio Perfectewave Transport | Acoustat model one + one | Michell | Dual CS510 platenspeler

Audiofiel

Hier een grafisch overzicht van de geschatte infectie:

Men heeft nooit gebrek aan slechte redenen om het goede na te laten, noch aan goede om het slechte te doen.

WickedGame

Quote from: Peerless Monster on April  6, 2012, 15:14:33
Met dank aan Arjan gecheckt:


Last login: Thu Apr  5 21:50:21 on console
iMac:~ R$ defaults read /Applications/Safari.app/Contents/Info LSEnvironment
2012-04-06 15:12:33.679 defaults[2469:903]
The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist
iMac:~ R$ defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
2012-04-06 15:12:51.849 defaults[2470:903]
The domain/default pair of (/Users/R/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist


Wist niet dat jij een Mac had :)

Perfectionist

Quote from: Audiofiel on April  6, 2012, 12:18:28
Belangrijker dan eventuele discussies is om te kunnen checken of de Trojan op je Mac staat. Dat kun je doen met onderstaande opdrachten in de Terminal. Als in beide gevallen er als uitkomst is: ".... does not exist", dan is de Trojan niet aanwezig en kun je gerust zijn. Draai wel de laaste Java updates van Apple die dit veiligheidsrisico aanpakt.

defaults read /Applications/Safari.app/Contents/Info LSEnvironment

defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

Mocht je wel besmet zijn, dan kun je hier lezen hoe je hem moet verwijderen. Hou er rekening mee dat ook na verwijdering er nog schade kan zijn, aangezien deze trojan zich kopieert naar andere Java applicaties.

Dank AF voor deze handige tip. Ik was gelukkig clean.
Een beter forum begint bij jezelf.

WickedGame


alexander2


botsen


alexander2

Meteen maar de volgende vraag is het raadzaam om een anti virus programma aan te schaffen?
Zo ja welke?

Peerless Monster

Quote from: WickedGame on April  6, 2012, 16:18:13
Wist niet dat jij een Mac had :)

Als z/osser wil je alleen maar het beste van het beste ;).
Ook al is het eigenlijk unix ;).
2 imacs, 1 mac mini, 1 time capsule, 2 iphones, ipad 3 hier
Je kan wel stellen dat ik apple freak ben ;).
Heb net een 3 tb schijf in mijn imac van 2007 gezet. Werkt prima!
Classe Omega MKII | Audio Research SP-11 | ARC VT130SE | PS Audio BHK 250 | PS Audio P10 | PS Audio Perfectwave DSD DAC  | PS Audio Perfectewave Transport | Acoustat model one + one | Michell | Dual CS510 platenspeler