Intego varnar för trojan för OS X

Tråden skapades och har fått 50 svar. Det senaste inlägget skrevs .
  • Medlem
  • Stockholm
  • 2007-10-31 20:52

Intego varnar för en trojan för OS X!

På flera porrsajter har en trojan som kallar sig en videocodec, dykt upp. Trojanen manipulerar den infekterad maskinens DNS-server, och vidarebefordrar trafik till oseriösa sajter, sajter som i sin tur kan lura användaren att knacka in t. ex. lösenord eller kreditkortsnummer.

Vi som kör Leopard kan se om vi är infekterade men folk med tidigare system kan inte göra det, allt enligt Intego:

Citat:

Under Mac OS X 10.4, there is no way to see the changed DNS server in the operating system’s GUI. Under Mac OS X 10.5, this can be seen in the Advanced Network preferences; the added DNS servers are dimmed, and cannot be removed manually. (Intego is currently testing previous versions of Mac OS X; it is likely that they can be infected as well, since all versions of Mac OS X have the scutil command.)
The Trojan horse also installs a root crontab which checks every minute to ensure that its DNS server is still active. Since changing a network location could change the DNS server, this cron job ensures that, in such a case, the malicious DNS server remains the active server.

Tilläggas bör att Intego säljer säkerhetslösningar för Macintosh.

Vänligen, Ylan

Ursäkta en novis på området
Men är det så att man måste ha laddat/fått ner en fil på skrivbordet - mountat den - installerat med admin lösenord för att få detta?

Nej, jag har inte varit på pornositer men har en del kontakt med ideella organisationer i öst och eftersom de har ont om pengar så ligger deras webbplatser på servrar som kanske inte är vad man alla gånger önskar sig. Det har hänt tidigare att deras sidor varit infekterade av trojaner som t ex F-secur givit Windows/IE-användare alarm för, dvs inget en annan behövt vara orolig för.

  • Medlem
  • Stockholm
  • 2007-10-31 23:36
Ursprungligen av macwitty:

Ursäkta en novis på området
Men är det så att man måste ha laddat/fått ner en fil på skrivbordet - mountat den - installerat med admin lösenord för att få detta?

Nej, jag har inte varit på pornositer men har en del kontakt med ideella organisationer i öst och eftersom de har ont om pengar så ligger deras webbplatser på servrar som kanske inte är vad man alla gånger önskar sig. Det har hänt tidigare att deras sidor varit infekterade av trojaner som t ex F-secur givit Windows/IE-användare alarm för, dvs inget en annan behövt vara orolig för.

Ja man måste installera det själv, och den här gången ligger trojanen på sidor som de flesta förmodligen inte skulle lita på, men nästa gång kanske den ligger någon annan stans. Och din sista mening pekar på det som gör det extra viktigt, du avslutar den: "[...]dvs inget en annan behövt vara orolig för."

Jag tror det är dags att vi macanvändare slutar känna oss osårbara!

Vänligen, Ylan

Tack Ylan!

Så länge det handlar om saker man själv måste ladda ner och installera så känner jag mig ganska trygg. Men det kan nog vara bra att vara lite försiktigare i framtiden - även om jag kanske inte varit den modigaste nerladdaren tidigare heller

tror inte på det!!

  • Medlem
  • Gävle
  • 2007-11-01 11:25
Ursprungligen av david8704:

tror inte på det!!

Hahaha, näe det hela låter ju fullständigt orimligt.

Ylan
"Jag tror det är dags att vi macanvändare slutar känna oss osårbara!"

Det är väl jätteenkelt att skriva skadlig kod åt ett system sålänge man måste godkänna den manuellt och skriva in sitt lösenord?

Det påminner om det norska viruset; “Hej! Jag är ett virus. Var vänlig och skicka vidare mig till alla i din adressbok. Radera sedan alla dina filer på hårddisken.”

Jag skrev en krönika om F.U.D. tidigare i år.

Ursprungligen av Claes Magnusson:

Det påminner om det norska viruset; “Hej! Jag är ett virus. Var vänlig och skicka vidare mig till alla i din adressbok. Radera sedan alla dina filer på hårddisken.”

Jag skrev en krönika om F.U.D. tidigare i år.

Vad är skillnaden på ett socialt/tekniskt virus? Kan vara bra att veta, mest nyfiken..:)

  • Medlem
  • Gävle
  • 2007-11-02 23:12
Ursprungligen av wildcard:

Vad är skillnaden på ett socialt/tekniskt virus? Kan vara bra att veta, mest nyfiken..:)

Ett tekniskt virus utnyttjar säkerhetshål och tekniska brister. Ett socialt virus (trojan) utnyttjar användarens godtrohet; lurar denna att köra programmet i tron att det gör något positivt.

  • Medlem
  • Stockholm
  • 2007-11-04 20:42

Attacken består ju inte blott och bart i den exekverbara kodsnutt offret luras att installera, utan också av infrastruktur i form av webbsidor, vilka liknar sina seriösa motsvarigheter, såsom Paypals och andras webbsidor.

Det intressanta med denna nyhet är ju att det är den första medvetna attacken mot Mac OS på många år. Tror att det var 1991 jag sist drabbades av en attack (mot mac), och då i form av ett virus som raderade all information på min diskett. (Those were the days )

Tänker också på de dialogrutor som dök upp på YouTube bl. a. när jag uppgraderat till Leopard. Ett avancerat bedrägeri skulle mycket väl kunna lura mig, som tämligen avancerad mac- och www-användare.

Vänligen, Ylan

Såg det nyss på IDG. Har varit uppe hela natten och inte förräns nu ser jag det... Konstigt att det inte uppmärksammats på sidor som Gizmodo tidigare =/

Är det här bara för Leopard eller även för Tiger?
Tur att jag inte kollar på porr på nätet, kör med privat-torrents istället

Ursprungligen av PiktorPucci:

Är det här bara för Leopard eller även för Tiger?

Det är för båda systemen.

Ursprungligen av Capeman:

Det är för båda systemen.

Skönt att det är bakåtkompatibelt.

  • Medlem
  • Sjöbo
  • 2007-11-01 08:33

Här får ni ett virus i samma anda. Dra din viktigaste mapp till papperskorten och välj "töm papperskorg". Tada! Virus. Vaddå "men man måste ju göra det själv?", det måste man ju med detta "virus" också... Suck.

  • Medlem
  • International user
  • 2007-11-01 09:55

Gud vad duktiga dem är på Intego som lyckats skapa en "trojan", fan jag kan göra 10 liknande ikväll om det skulle vara så.... men vänta, just d jag, jag säljer ju inga säkerhetslösningar till mac.

Finns inte problem får man väll skapa dem.

Åh nej! Inte porrsajter! Think of the children!

Vad ska jag nu ha min Mac till?

Ett Virus är för mig någon man inte märker att man fåt utan att ha gjort något. Ett Virus enligt mitt tycka skall vara något som installerar sig själv utan några varningar eller admin lösen förfrågningar.

Ursprungligen av Tussen69:

Ett Virus är för mig någon man inte märker att man fåt utan att ha gjort något. Ett Virus enligt mitt tycka skall vara något som installerar sig själv utan några varningar eller admin lösen förfrågningar.

Det där kan man ju stöta och blöta, men det står ju att det är en trojan.
och det stämmer ju eftersom den utger sig för användaren att den är ett codec, men är skadlig kod istället.

Nu gömmer den ju sig i porrsidor och folk är väl extra försiktiga när man laddar ner sådant material och sen om man råkar ut för en sådan attack så skriker man ju inet ut det eftersom man då stämplas som porr-surfare.

Tänk om någon skulle trycka in samma trojan i senaste disney-filmen på någon populär torrent-sida, stressad mamma/pappa har 3 barn som skriker om att de vill se film, så personen får upp en fråga om att det behövs ett till codec och man vill ladda ner det, jag tror själv att ganska många skulle installera detta.

  • Medlem
  • Gävle
  • 2007-11-01 14:52
Ursprungligen av Tussen69:

Ett Virus är för mig någon man inte märker att man fåt utan att ha gjort något. Ett Virus enligt mitt tycka skall vara något som installerar sig själv utan några varningar eller admin lösen förfrågningar.

Precis. Och detta är inte ett virus. Det är en trojan. En trojan är ett program som påstår sig göra en sak, men gör något helt annat.

  • Medlem
  • Stockholm
  • 2007-11-01 15:01

Det är sant att det inte är ett virus, samt att man måste installera det. Detta är inte en fråga om huruvida Mac är säkrare än Windows eller ej, utan om att det finns malware för Macintosh som är:

  1. inte bara ett experimentellt koncept, utan en fungerande trojan som är ute på nätet.

  2. kommersiellt. Spridaren förväntar sig att tjäna pengar på trojanen.

Vi blir mer och mer intressanta som mål, och tanken "jag kör mac, och behöver inte bekymra mig om säkerhet" blir farligare och farligare!

Vänligen, Ylan

  • Medlem
  • Gävle
  • 2007-11-01 15:39
Ursprungligen av Ylan:

Vi blir mer och mer intressanta som mål, och tanken "jag kör mac, och behöver inte bekymra mig om säkerhet" blir farligare och farligare!

Du har rätt i det du säger, men relativt sett så är faran fortfarande extremt liten. För att undvika att hamna i detta läge så behöver man i stortsett bara tänka på en enda sak: ladda inte hem program — oavsett beskrivning — från tveksamma sajter så som porrsajter.

Det är värre med Windows + Internet Explorer samt Outlook, där man som användare faktist kan bli infekterad av diverse elak kod genom att bara passivt läsa sidor/epost som hamnar i ens inkorg. Infektioner på Windows-plattformen har, utöver denna typ av lura-användaren-att-ladda-ner-ett-dumt-program, historiskt skett genom passivitet från användaren; de har inte gjort nånting överhuvudtaget, och har inte haft någon uppenbar anledning att misstänka att de blivit infekterade.

Det går inte att tekniskt säkra ett operativsystem från trojanen av denna typ som tråden handlar om, eftersom den inte utnyttjar en teknisk svaghet, utan användarens okunskap/naivitet/whatever. Här gäller det istället att öka användares förståelse för att ett program faktiskt inte nödvändigtvis behöver göra det användaren tror, och därför använda någon form av skepsis gentemot distributören vid nedladdningstillfället.

Ursprungligen av Jogin:

Det är värre med Windows + Internet Explorer samt Outlook, där man som användare faktist kan bli infekterad av diverse elak kod genom att bara passivt läsa sidor/epost som hamnar i ens inkorg. Infektioner på Windows-plattformen har, utöver denna typ av lura-användaren-att-ladda-ner-ett-dumt-program, historiskt skett genom passivitet från användaren; de har inte gjort nånting överhuvudtaget, och har inte haft någon uppenbar anledning att misstänka att de blivit infekterade.

I Windows-världen så har ju även virus haft den fördelen att 90% av användarna är inloggade med administrativa rättigheter, detta har gjort windowns till en lätt miljö att plantera virus i.

Senast redigerat 2007-11-01 19:50
  • Medlem
  • Gävle
  • 2007-11-01 15:57
Ursprungligen av mendezzz:

I Windows-världen så har ju även virus haft den fördelen att 90% av användarna är inloggade med administrativa rättigheter, detta har gjort windowns till en lätt miljö att plantera virus i.

De allra flesta virus har inget behov av administrativa rättigheter.

De senaste tio åren, typ, så har den vanligaste formen av virus varit worms/maskar, och då framförallt epostburna sådana. Oftast gör dessa ingenting skadligt, utan vidarebefodrar bara sig själva till alla i Outlooks adressbok. För att göra detta krävs inga administrativa rättigheter. Detta brukar resultera i överbelastning på epostservrar och nätverk.

Därutöver brukar det också komma variationer på masken, som t.ex. kan försöka radera alla filer på en viss partition, eller så. För en användare är det ju faktiskt minst lika allvarligt att få personliga filer raderade som att själva operativsystemet skadas på något vis — och för det krävs ju inga administrativa rättigheter. Bara i undantagsfall så försöker virus göra någonting som kräver administrativa rättigheter.

Senast redigerat 2007-11-01 16:09
  • Medlem
  • Stockholm
  • 2007-11-01 20:52
Ursprungligen av Jogin:

De allra flesta virus har inget behov av administrativa rättigheter.

De senaste tio åren, typ, så har den vanligaste formen av virus varit worms/maskar, och då framförallt epostburna sådana. Oftast gör dessa ingenting skadligt, utan vidarebefodrar bara sig själva till alla i Outlooks adressbok. För att göra detta krävs inga administrativa rättigheter. Detta brukar resultera i överbelastning på epostservrar och nätverk.

Därutöver brukar det också komma variationer på masken, som t.ex. kan försöka radera alla filer på en viss partition, eller så. För en användare är det ju faktiskt minst lika allvarligt att få personliga filer raderade som att själva operativsystemet skadas på något vis — och för det krävs ju inga administrativa rättigheter. Bara i undantagsfall så försöker virus göra någonting som kräver administrativa rättigheter.

Process bunda virus behöver inte admin rättigheter, de "lånar" helt enkelt bara processen som de är i och köra det som de behöver.. dock är det ju väldigt få virus som endast gör detta.

Vanligare är trojaner, eller virus som bär med sig annan payload med, dessa kräver admin rättigheter för att ändra i registret, bootstrapa sig själva så de alltid startas med windows och för att slå ut antivirus program på datorn. Så säga att admin rättigheter inte behövs längre är alldeles förhastat.

För den intreserade, om ni vill göra en egen version av "viruset" som Intego varnar för..

banana$ echo "list State:/Network/Service/[^/]+/DNS" | scutil
  subKey [0] = State:/Network/Service/FEAFA7DE-8BE5-49ED-A115-A3E113E8753B/DNS


banana$ echo "list State:/Network/Service/[^/]+/DNS" | scutil | awk '{print $4}' | while read f; do echo "show $f" | scutil ; done
<dictionary> {
  ServerAddresses : <array> {
    0 : 127.0.0.1
  }
  DomainName : XXX.pnwd.tld
}

klistra in i en fil som ett shell script (har skippat en detalj så inga barn skadar sig), gör den exekverbar och kör den med sudo som kommer fråga efter lösen som ni vet om.

Att kalla detta för virus resulterar ju inte i mer än att företaget nu mer ses som i bästa fall clowner

PS, misstänker att den som skapade det hitta det på samma sätt som jag gjorde, en 5s googling.. sedan kanske det tog 5min att lista ut hur man använder automator så var hela saken biff..

  • Medlem
  • Göteborg
  • 2007-11-01 19:16

Varför finns det då inga "riktiga" virus till mac?
De flesta säger att det är för att det inte finns så många mac användare,
men hade inte den som gör det första mac viruset blivit höjd till skyarna inom sin krets?

  • Medlem
  • Gävle
  • 2007-11-01 19:43
Ursprungligen av Luken:

Varför finns det då inga "riktiga" virus till mac?
De flesta säger att det är för att det inte finns så många mac användare,
men hade inte den som gör det första mac viruset blivit höjd till skyarna inom sin krets?

Det finns inga riktiga virus till Linux heller. Varken Linux eller Mac OS X är ogenomträngligt eller ohackbart, och det tror nog inte någon heller.

Det finns inte bara en anledning till varför det inte finns några virus, det är naturligtvis frågan om ett gäng anledningar som tillsammans gör Mac OS X till en "dålig" plattform för virus.

Men framförallt handlar det om svårigheten att få viruset att spridas. Om ett virus infekterar en Windows XP-maskin och vidarebefodrar sig självt antingen genom att maila iväg sig självt, eller t.ex. utnyttja en säkerhetslucka och infektera andra datorer på det lokala nätverket, så har det på den vägen en STOR chans att råka på flera andra Windows XP-maskiner som den kan infektera. Exempelvis om en dator på en arbetsplats blir infekterad så kan viruset snabbt infektera alla andra datorer på arbetsplatsen (eller i adressboken), eftersom dessa oftast också är Windows XP-maskiner som också kör Outlook.

Denna möjlighet att hitta mängdvis med andra datorer att infektera på ett snabbt och enkelt sätt finns helt enkelt inte på Mac-plattformen, helt enkelt för att det är glest mellan Mac-datorerna. Mac-datorer står inte uppradade i hundratal på arbetsplatser i samma utsträckning; en infekterad Mac-dator kan inte enkelt infektera andra Mac-datorer, så själva spridingsfunktionen i viruset är svår att lösa på Mac-plattformen. Om ett Mac-virus skickar sig själv till alla i din adressbok, hur många av de mottagarna kör Mac? I de flesta fall så är svaret: inte så många.

Därtill så är Apples Mail relativt buggfritt jämfört med Outlook, som tack vare sitt stöd för VBScript varit ett ganska tacksamt mål för virusattacker, vilket gör infekterandet av andra datorer ännu svårare.

Ja, som sagt, det finns många anledningar till varför virus inte finns på Mac. Men säkerhetsluckor dyker upp titt som tätt, och stängs efter ett tag, så det är inte i huvudsak brist-på-säkerhetsluckor som gör Macen så virusfri, det är bristen på Macar som står i tät kontakt med varandra. Även om ett virus skrivs för att utnyttja ett tillfälligt säkerhetshål på Mac så kan det inte spridas med stor hastighet, eftersom det inte enkelt kan hitta andra Macar att infektera.

Ursprungligen av Jogin:

...Även om ett virus skrivs för att utnyttja ett tillfälligt säkerhetshål på Mac så kan det inte spridas med stor hastighet, eftersom det inte enkelt kan hitta andra Macar att infektera.

1. Multicast/Bonjour hittar andra Macar blixtsnabbt på det lokala nätverket.
2. Ett hypotetiskt virus måste även ändra runlevel för att kunna göra någonting utanför userspace. De kräver också manuell autentisering.

jag ser på ljust på framtiden och uteblivna virus.

  • Medlem
  • Gävle
  • 2007-11-01 22:15
Ursprungligen av Johan Gunverth:

1. Multicast/Bonjour hittar andra Macar blixtsnabbt på det lokala nätverket.
2. Ett hypotetiskt virus måste även ändra runlevel för att kunna göra någonting utanför userspace. De kräver också manuell autentisering.

1. Ja, men problemet är då det inte finns andra Macar på lokala nätverket, då hittar istället Bonjour blixtsnabbt noll Macar att infektera, och smitteshärden uteblir. Det kryllar inte direkt med Macar i organisationsnätverk och liknande, inte jämfört med Windows. Och eftersom själva poängen med ett virus är att smitta så många som möjligt så är det inte direkt superintelligent att satsa på att infektera de där fem procenten Macar som står glest, snarare än de 95% Windows-maskiner som står i kluster.

2. Ett virus måste inte göra ett skit utanför userspace för att kunna ställa till med otåg. Att en användare får sina personliga filer raderade är minst lika förödande som att operativsystemet skadas. Även i userspace kan ett virus skicka sig självt till andra datorer.

Bevaka tråden