Ett experiment i virus: trojan till Mac OS X

Tråden skapades och har fått 34 svar. Det senaste inlägget skrevs .
  • Medlem
  • Gävle
  • 2007-11-05 15:01

Detta är mitt första experiment till virus på Mac OS X.

Jag har gjort ett program som hämtar alla epostadresser ur Adressboken och sedan mailar sig självt till dem. Ett ganska harmlöst virus med andra ord, eftersom det inte skadar någon eller raderar några filer. Bara mailar sig självt.

Eller harmlöst och harmlöst, denna typ av "harmlösa" virus ställer till med enorma problem för IT-avdelningar och företag då den enorma mängden mail som det resulterar i får servermiljön att gå under.

Det blir dock ingen kaos på IT-avdelningen om de två Macarna i företaget infekteras och skickar epost till alla i Adressboken, om de 326 Windows-burkarna blir det däremot, då får man en hel del att stå i. Men nu är ju detta ett Mac-virus så IT-avdelningen behöver inte bry sig överhuvudtaget; de kan sitta kvar och spela Counterstrike istället. Eftersom det bara finns två Macar på kontoret så är ju detta "virusangrepp" inte ens lika allvarligt som när Benke på ekonomiavdelningen skickar runt helgens skörd av "roliga" mail... Hahaha, skrattar de, och spelar vidare.

Tillbaka till viruset. Detta är alltså ett virus som förutsätter att användaren luras att köra det, i tron att det är nåt roligt som hans/hennes vän tipsat om.

Så här ser det ut i Mail om man fått viruset skickat till sig:

Trots att jag bytt ikonen till en JPG-ikon så syns den inte i Mail, istället visar Mail den "riktiga" ikonen. Tyvärr misslyckas jag alltså i detta första försök att få användaren att "se" att det är en JPEG-bild. Men nån kan ju bli lurad iaf, dock färre än om ikonen visat att det är en JPEG-bild. Detta minskar drastiskt chansen att någon kommer att tro på att det är en bild och inte ett elakt script.

Eftersom filen är ett exekverbart script, och inte en bild, så får användaren istället spara ned filen. Detta ökar också det misstron mot att det faktiskt är en bild som viruset påstår sig vara. Denna typ av skydd finns numer även i Windows, dock inte på den tiden då de värsta epostburna virus spreds.

För att komma runt dessa hinder så skulle jag bli tvungen att använda en annan metod för att dölja att scriptet är ett script; exempelvis utnyttja det säkerhetshål i bildformatet TIFF som gör att folk fått root-access till iPhone. Men så ambitiös är inte jag i detta experiment.

När användaren sparat ned "bilden" så ser den ut såhär:

Titta, det är ju en JPEG-fil! Sådana är ju inte farliga att klicka på, tänker användare Nisse. När han klickat på den så skickar sig viruset till alla i hans adressbok. Och så börjar allting om igen. Ja, fast så illa som det låter är det ju inte. Eftersom Mac bara har 5% marknadsandel så innebär ju det att 95% av alla mottagare är immuna mot viruset.

Dessutom, om användaren kör Leopard så visas även denna varning:

Ännu en gång minskar då risken att användaren går på den här luringen. Hmm, vad är nu det här, undrar användaren. Vissa kanske går på detta ändå, men eftersom användaren vid flera tillfällen stött på tveksamheter så innebär det i slutändan att chansen att detta virus sprider sig är mycket mycket liten.

Tillägg: Sen ska det ju även nämnas att man måste ju inte ens låtsas att den bifogade filen är en bild, man kan ju även påstå att det är nåt schysst tillägg till Leopard, tex nåt som gör Docken snyggare, eller nåt. Det kanske tillochmed gör saken lättare.

Summa sumarum

Så, vad var hindren och problemen med detta försök till att skapa ett Mac-virus? Var det svårt att koda ihop? Mjae, det tog inte så lång tid och det blev bara ca trettio rader kod.

Behöver viruset några administrativa rättigheter som den inte får hursomhelst? Näe. Viruset struntar fullständigt i administrativa rättigheter; det vill som många andra virus bara sprida sig. Om jag hade velat så hade viruset även kunnat radera vilken fil som helst i användarens hemkatalog utan att behöva några särskilda rättigheter för det.

Det som förhindrar detta virus att spridas är inte att det inte går att skriva (det är mycket enkelt), utan att tack vare god design från Apple så blir användaren skeptisk mot innehållet gång på gång. Det är denna typ av virus som är vanligast på Windows. Alltså; bifogade filer i ett epostmeddelande, som när användaren är godtrogen nog att öppna dem, skickar sig själv vidare. Hur lätt som helst att göra samma sorts trojan till Mac, dock tack vare god design från Apples sida svårare att lura användaren att faktiskt köra den.

intressant!

  • Medlem
  • Dals-Ed
  • 2007-11-05 15:14

Det roliga är att min dator heter Nisse. Men jag kan ju garantera att jag inte skulle gå på det. I vilket fall intressant.

Ja, skit bakom spakarna är ju svårt att hitta ett riktigt bra skydd mot.

  • Medlem
  • Gävle
  • 2007-11-05 15:42
Ursprungligen av Fredrik Dolk:

Ja, skit bakom spakarna är ju svårt att hitta ett riktigt bra skydd mot.

Precis, det är nog också just därför som virus oftast försöker komma in den vägen: att med lockande filnamn och beskrivning få användarna att öppna filen. Några klassiker är ju t.ex. "britney-topless.exe", "LOVE-LETTER-FOR-YOU.TXT.vb", "GiRlZ FoReVeR (Wow).exe", "Kama Sutra.exe", "Kurnikova Screensaver (6+).exe", etc. Detta är alltså den mest vanliga metoden som epostburna virus använder för att infektera sina offer.

  • Medlem
  • International user
  • 2007-11-05 17:59

Sen hade det ju varit intressant att veta hur OS X identifierar filen som Unixprogram och inte en bild. Kan man modifiera filen på något sätt och därmed lura OS X till att tro att det är en bild?

Fast då hade skriptet å andra sidan inte körts... Finns det då något sätt att komma runt OS X varningar om att filen är nerladdad? Någonstans måste den ju spara info om varifrån filen kommer och om den har öppnats förut. Kan man komma runt det på något sätt?

Finns nog folk som vet rätt mycket mer om det här än mig och som redan håller på att försöka komma på en lösning på "problemet", får bara hoppas de inte lyckas

  • Medlem
  • Gävle
  • 2007-11-05 18:55
Ursprungligen av shandar:

Fast då hade skriptet å andra sidan inte körts... Finns det då något sätt att komma runt OS X varningar om att filen är nerladdad? Någonstans måste den ju spara info om varifrån filen kommer och om den har öppnats förut. Kan man komma runt det på något sätt?

Precis, då hade det inte körts istället. Om det finns någon "mellanväg" så att säga tror jag inte, isf att utnyttja ett säkerhetshål i ett bildformat. I exempelvis TIFF finns det ju ett känt säkerhetshål.

Det är dock avsevärt mer komplicerat än att skriva trettio rader ruby-kod som jag gjorde. Då behöver man inte heller maila bilden, utan det räcker med att användaren öppnar den över webben för att infektera datorn (allt man behöver göra är att surfa till jailbrakeme.com så utnyttjar den ett säkerhetshål för att få root-access på iPhone).

  • Medlem
  • International user
  • 2007-11-05 20:54
Ursprungligen av Jogin:

Precis, då hade det inte körts istället. Om det finns någon "mellanväg" så att säga tror jag inte, isf att utnyttja ett säkerhetshål i ett bildformat. I exempelvis TIFF finns det ju ett känt säkerhetshål.

Det är dock avsevärt mer komplicerat än att skriva trettio rader ruby-kod som jag gjorde. Då behöver man inte heller maila bilden, utan det räcker med att användaren öppnar den över webben för att infektera datorn (allt man behöver göra är att surfa till jailbrakeme.com så utnyttjar den ett säkerhetshål för att få root-access på iPhone).

Speciellt med tanke på Apples nya Library Randomization.

Skönt att veta att man är säker iaf

Ursprungligen av shandar:

Fast då hade skriptet å andra sidan inte körts... Finns det då något sätt att komma runt OS X varningar om att filen är nerladdad? Någonstans måste den ju spara info om varifrån filen kommer och om den har öppnats förut. Kan man komma runt det på något sätt?

Om man använder Firefox istället för Safari så får man inga varningar om att filer är nedladdade fast de är det. Gissningsvis slipper man därför varningen om man kör Thunderbird istället för Apples Mail. Man borde även slippa varningen om man använder gmail och hämtar hem bilagan med Firefox.

Och snälla sluta kalla det ett virus

  • Medlem
  • Gävle
  • 2007-11-05 22:22
Ursprungligen av mikotekniko:

Och snälla sluta kalla det ett virus

Håller med om att virus egentligen ska kunna sprida och köra sig själva utan hjälp av godtrogna användare, men enligt populär definition så är även denna typ av trojaner (som försöker sprida sig själv) virus. http://sv.wikipedia.org/wiki/Datorvirus

Är det det här "viruset" som har stått på text tv !? : ) hoppas det.. annars e jag orolig.

Tycker det här på ett utmärkt sätt visar hur svårt det är att göra trojaner riktade mac-användare.

  • Medlem
  • Gävle
  • 2007-11-05 23:01
Ursprungligen av _pojke:

Är det det här "viruset" som har stått på text tv !? : ) hoppas det.. annars e jag orolig.

Nej det är det inte. Det här skrev jag ihop på eget bevåg på några minuter.

Ursprungligen av Ciryon:

Tycker det här på ett utmärkt sätt visar hur svårt det är att göra trojaner riktade mac-användare.

Mja, iaf om man ska lura användaren att filen är av en ofarlig filtyp. Det finns absolut ingen anledning att tro att Macen är ogenomtränglig för trojaner som utnyttjar användarnas godtrohet.

Om trojanen istället hade hetat "Leopard Dock Tweaker" och utgett sig för att göra det möjligt att byta "look" på docken, så kanske fler ha lurats att köra filen.

Det finns ju ett antal små program som nån eller några pillat ihop för att göra just detta; modifiera docken. Dessa program har spritts via zip-arkiv på sajter såsom RapidShare.com (till skillnad från versiontracker.com). De/den hade ju tveklöst lika gärna kunnat vara trojaner som gjort något styggt utöver att förändra docken.

Detta är ett tydligt bevis på att även vana Mac-användare här på forumet ibland kan ladda hem och köra program av okänd karaktär från okända platser, och gladeligen ange sitt lösenord för att köra det — vilket docktweak ju kräver.

Hur är det med .mov-formatet nuförtiden? Det kunde ju bära med sig kod som kördes när man spelade upp en film. Tror mest att det rörde sig om att öppna websidor automatiskt.

Ursprungligen av johan_tanying:

Hur är det med .mov-formatet nuförtiden? Det kunde ju bära med sig kod som kördes när man spelade upp en film. Tror mest att det rörde sig om att öppna websidor automatiskt.

.mov är för mig en gåta varför det inte blivit ett virus/elakheter spridar verktyg av stora mått- Säg det som inte går att göra i en .mov fil?

Coolt.

Intressant som sagt att osx varnar att det är ett program.

Dessutom, även om du valt att ta bort alla användarens filer, så kan det inte ta bort de andra användarnas filer. Därav är skadan väldigt begränsad som detta program kan göra.

Men helt klart tråkigt att bli av med sina filer. Därför man gör regelbundna backuper

Dessutom visar man ju alltid alla filändelser... Vad får denna fil för ändelse?

  • Medlem
  • Gävle
  • 2007-11-06 11:32
Ursprungligen av larsrohdin:

Dessutom, även om du valt att ta bort alla användarens filer, så kan det inte ta bort de andra användarnas filer. Därav är skadan väldigt begränsad som detta program kan göra.

Det är bara om man väljer att försöka lura användaren med att det är en bild, och inte ett genuint program som kräver admin-lösenord. Som jag redan har nämnt så kan även vana användare ibland ladda hem okända program av okänd art och gladeligen ange sitt admin-lösenord när programmet frågar om det. Det är allt som behövs för att ställa till med precis-vad-som-helst. Godtrohet, och Mac-användare har ingen brist på sådan.

Ursprungligen av larsrohdin:

Dessutom visar man ju alltid alla filändelser... Vad får denna fil för ändelse?

Ingen. Och det är inte standardinställningen.

Ursprungligen av Jogin:

Det är bara om man väljer att försöka lura användaren med att det är en bild, och inte ett genuint program som kräver admin-lösenord. Som jag redan har nämnt så kan även vana användare ibland ladda hem okända program av okänd art och gladeligen ange sitt admin-lösenord när programmet frågar om det. Det är allt som behövs för att ställa till med precis-vad-som-helst. Godtrohet, och Mac-användare har ingen brist på sådan.

Ingen.

Sant, finns alltid sätt att utnyttja skiten bakom spakarna att sprida virus. Mycket svårt att skydda emot det.

Tycker fortfarande inte det är att räknas som ett virus om det kräver att man skriver in sitt root-pass dock. Vare sig det gällde mac eller annat os. Då handlar det bara om skit bakom spakarna.

Nej, det är inte standard, men en nyttig inställning.

  • Medlem
  • Gävle
  • 2007-11-06 11:55
Ursprungligen av larsrohdin:

Sant, finns alltid sätt att utnyttja skiten bakom spakarna att sprida virus. Mycket svårt att skydda emot det.

Precis.

Ursprungligen av larsrohdin:

Tycker fortfarande inte det är att räknas som ett virus om det kräver att man skriver in sitt root-pass dock. Vare sig det gällde mac eller annat os. Då handlar det bara om skit bakom spakarna.

Jag är beredd att hålla med, typ. Men som jag påpekat så väljer ju vana användare ibland att ladda hem okända program från okänd plats av okänd typ, och anger sitt admin-lösenord när det ber om det. Kalla det virus, trojan eller vad du vill, men läget är ju fortfarande att det är rätt enkelt att med den verklighetsbakgrunden skapa en elak trojan till Mac.

Ursprungligen av Jogin:

Precis.

Jag är beredd att hålla med, typ. Men som jag påpekat så väljer ju vana användare ibland att ladda hem okända program från okänd plats av okänd typ, och anger sitt admin-lösenord när det ber om det. Kalla det virus, trojan eller vad du vill, men läget är ju fortfarande att det är rätt enkelt att med den verklighetsbakgrunden skapa en elak trojan till Mac.

Då är vi överens

Men, detta är inget nytt. Att det kan innebära en säkerhetsrisk att ge sitt root-lösen till någon tvivelaktig person är inte en nyhet...

  • Medlem
  • Göteborg
  • 2007-11-06 14:18
Ursprungligen av larsrohdin:

Coolt.
Dessutom, även om du valt att ta bort alla användarens filer, så kan det inte ta bort de andra användarnas filer. Därav är skadan väldigt begränsad som detta program kan göra.

Men helt klart tråkigt att bli av med sina filer. Därför man gör regelbundna backuper

Dessutom visar man ju alltid alla filändelser... Vad får denna fil för ändelse?

Använder man Time Machine för sina regelbunda backuper (vilket många nog kommer göra) och anger admin-konto så ryker det rätt duktigt med filer iaf. Det brukar väl även vara si och så med rättighetskontroll på externa diskar? Med andra ord kan jag bli av med alla mina filer, alla backuper och allt på externa diskar. Jag skulle inte kalla detta "väldigt begränsad".

För övrigt skulle visade lite googlande på att det är metadata som läggs till (av t.ex. Safari) till filer. Någon speciell filändelse handlar det alltså inte om utan man lägger till extended metadata.

Det blir dock lite lurigt att få scriptet/trojanen att ändra detta utan att exekveras och då syns ju varningen (såvida man inte använder thunderbird/firefox osv då)..

Länk till forumtråd på ArsTechica som beskriver det tydligt med bilder t.om. http://episteme.arstechnica.com/eve/forums/a/tpc/f/8300945231/m/878003628831

  • Medlem
  • Stockholm
  • 2007-11-06 16:55
Ursprungligen av d99gnu:

Använder man Time Machine för sina regelbunda backuper (vilket många nog kommer göra) och anger admin-konto så ryker det rätt duktigt med filer iaf. Det brukar väl även vara si och så med rättighetskontroll på externa diskar? Med andra ord kan jag bli av med alla mina filer, alla backuper och allt på externa diskar. Jag skulle inte kalla detta "väldigt begränsad".

För övrigt skulle visade lite googlande på att det är metadata som läggs till (av t.ex. Safari) till filer. Någon speciell filändelse handlar det alltså inte om utan man lägger till extended metadata.

Det blir dock lite lurigt att få scriptet/trojanen att ändra detta utan att exekveras och då syns ju varningen (såvida man inte använder thunderbird/firefox osv då)..

Länk till forumtråd på ArsTechica som beskriver det tydligt med bilder t.om. http://episteme.arstechnica.com/eve/forums/a/tpc/f/8300945231/m/878003628831

Detta fick mig verkligen att tänka efter. Även om trojanen endast kommer åt min inloggade användares back up, är ju verkligen allting den användaren någonsin gjort borta. Vilket innebär att Time Machine endast skyddar mot hårddiskkrascher och inte mot malwareattacker.

Skall testa när jag kommer hem huruvida jag kan radera Time Machine-filer, eller om jag inte har behörighet att göra detta som icke-administratör.

Vänligen, Ylan

Ursprungligen av larsrohdin:

...Dessutom visar man ju alltid alla filändelser...

Knappast! Normala Mac-användare vill inte se "Windows style"-filändelser.
Upplagt för förvirring om filer inte beter som förväntat och ett hyoptetiskt virus eller en trojan skulle alltså få större chans att "överleva".

  • Medlem
  • Täby
  • 2007-11-07 12:35
Ursprungligen av Johan Gunverth:

Knappast! Normala Mac-användare vill inte se "Windows style"-filändelser.
Upplagt för förvirring om filer inte beter som förväntat och ett hyoptetiskt virus eller en trojan skulle alltså få större chans att "överleva".

Jag kör alltid med att visa filändelser på alla filer, både som ett extra skydd och för att man direkt skall se vad det är för fil (som vi såg i detta exempel går det inte alltid att lita på ikonen som filen har). O:-)

  • Medlem
  • Stockholm
  • 2007-11-06 11:49

Jag upptäckte att i och med Leopard så kan .mov-filer med URL:er inbakade automatiskt uppna websidor från finder. Jag tror det har med Quickview eller Coverflow att göra, antingen när de skapar en preview av filen eller för att filen på sätt och vis är "live" i Findern.

Högst irriterande då jag har en mapp med ett hundra-tal filmer som på en given punkt öppnar en URL. Well, mappen fick safari att börja poppa fönster i en jävla takt

Feature kan man säga, bugg skulle jag klassa det som.

  • Medlem
  • Gävle
  • 2007-11-06 17:55

Som jag brukar säga; att radera användarens personliga filer är precis lika allvarligt, om inte allvarligare, än att skada systemfiler. Systemfiler är en barnlek att ersätta/återställa, jämförelsevis.

  • Medlem
  • Stockholm
  • 2007-11-06 18:01
Ursprungligen av Jogin:

Som jag brukar säga; att radera användarens personliga filer är precis lika allvarligt, om inte allvarligare, än att skada systemfiler. Systemfiler är en barnlek att ersätta/återställa, jämförelsevis.

Testade, och såg att jag inte kunde radera mina back up-filer! Skönt, bara inte malware kan göra det!

Vänligen, Ylan

  • Medlem
  • Göteborg
  • 2007-11-07 11:05
Ursprungligen av Ylan:

Testade, och såg att jag inte kunde radera mina back up-filer! Skönt, bara inte malware kan göra det!

Vänligen, Ylan

Jag får erkänna att jag inte testat featuren själv men försökte du göra så här?; http://www.tech-recipes.com/rx/2655/leopard_time_machine_delete_files_folders_from_backup
eller försökte du ta bort filerna "manuellt" från den externa disken? Jag har förstått det som att det där inte kräver att man matar in ett lösenord och det borde väl gå att scripta som det mesta annat...

OT-varning: Någon som har insikt i hur OS X eg. bryr sig om rättigheter på externa diskar? När jag t.ex. tog min gamla Tiger-disk och satte i ett extern chassi fick jag glatt tillgång till alla användares filer och jag har en gång i lätt panik upptäckt att en checkbox "ignorera rättigheter på denna disk" var ikryssad på min 500Gb Firewire disk. Det i kombination med ftp/ssh gjorde att underkataloger som skulle varit permission denied inte blev det. Efter det litar jag inte helt hundra på sådana lösningar.

  • Medlem
  • Stockholm
  • 2007-11-07 15:27
Ursprungligen av d99gnu:

Jag får erkänna att jag inte testat featuren själv men försökte du göra så här?; http://www.tech-recipes.com/rx/2655/leopard_time_machine_delete_files_folders_from_backup
eller försökte du ta bort filerna "manuellt" från den externa disken? Jag har förstått det som att det där inte kräver att man matar in ett lösenord och det borde väl gå att scripta som det mesta annat...

OT-varning: Någon som har insikt i hur OS X eg. bryr sig om rättigheter på externa diskar? När jag t.ex. tog min gamla Tiger-disk och satte i ett extern chassi fick jag glatt tillgång till alla användares filer och jag har en gång i lätt panik upptäckt att en checkbox "ignorera rättigheter på denna disk" var ikryssad på min 500Gb Firewire disk. Det i kombination med ftp/ssh gjorde att underkataloger som skulle varit permission denied inte blev det. Efter det litar jag inte helt hundra på sådana lösningar.

Jag försökte ta bort filerna manuellt.

Vad gäller rättigheter på externa diskar, räknar jag inte med säkerhet mot någon med fysisk tillgång till disken.

Vänligen, Ylan

Bevaka tråden