Nytt malware (Mac.Backdoor.iWorm) attackerar OS X

Tråden skapades och har fått 24 svar. Det senaste inlägget skrevs .
1

Läs mer här; http://news.drweb.com/show/?i=5976&lng=en, http://news.drweb.com/show/?i=5977&lng=en

För att kolla om just du är infekterad, se http://www.thesafemac.com/dr-web-announces-ne...

Citat:

To check to see if you are infected, go to the Finder and choose Go to Folder from the Go menu. Copy the following path and paste it into the window that opens:

/Library/Application Support/JavaW

Then, click the Go button. If you just get a beep, and the window displays a message in the bottom left corner that the folder can’t be found, then you should be okay.

#nyhetstips

Gäller detta bara OS X Mavericks? Jag har gjort följt guiden men får inget beep i Yosemite.

Öppnas inte foldern (/Library/Application Support/JavaW) i Finder så lär du vara ok.

Ursprungligen av keptang:

Öppnas inte foldern (/Library/Application Support/JavaW) i Finder så lär du vara ok.

Var tvungen att testa. I Yosemite kommer det upp något form av skript i terminal när jag söker på: /Library/Application Support/JavaW i Mavericks kommer det inte upp någonting. Bifogar bild från Yosemite.

  • Medlem
  • Göteborg
  • 2014-10-04 14:49
Ursprungligen av koffas:

Var tvungen att testa. I Yosemite kommer det upp något form av skript i terminal när jag söker på: /Library/Application Support/JavaW i Mavericks kommer det inte upp någonting. Bifogar bild från Yosemite.

Då är din Yosemitedator infekterad av en trojan och ingår med största sannolikhet i ett botnet som väntar på att få orsaka lite jävelskap. Eftersom det ändå är en betainstallation kanske du inte förlorar så mycket på att radera rubbet och gå tillbaks till Mavericks några veckor?

Thomas Reed på The Safe Mac har upptäckt hur Mac.BackDoor.iWorm infekterar. (ett av sätten, kan finnas flera) Och det är inget ovanligt, den är gömd i en manipulerad installationsfil för piratad programvara via Piratebay. Om man inte skriver in sitt admin-lösen vid installationen så händer inget, det räcker inte att bara ladda ner eller öppna filen. Men skriva in sitt lösen är ju just vad man gör när man hoppas få hela Adobes programsvit gratis...

The Safe Mac >> iWorm method of infection found!

Ursprungligen av koffas:

Var tvungen att testa. I Yosemite kommer det upp något form av skript i terminal när jag söker på: /Library/Application Support/JavaW i Mavericks kommer det inte upp någonting. Bifogar bild från Yosemite.

Det är precis vad det gör, du har foldern = infekterad.

  • Medlem
  • 2014-10-04 15:13

nu känns det extra skönt att man betalar för sig.

Ursprungligen av IngoX:

Då är din Yosemitedator infekterad av en trojan och ingår med största sannolikhet i ett botnet som väntar på att få orsaka lite jävelskap. Eftersom det ändå är en betainstallation kanske du inte förlorar så mycket på att radera rubbet och gå tillbaks till Mavericks några veckor?

Thomas Reed på The Safe Mac har upptäckt hur Mac.BackDoor.iWorm infekterar. (ett av sätten, kan finnas flera) Och det är inget ovanligt, den är gömd i en manipulerad installationsfil för piratad programvara via Piratebay. Om man inte skriver in sitt admin-lösen vid installationen så händer inget, det räcker inte att bara ladda ner eller öppna filen. Men skriva in sitt lösen är ju just vad man gör när man hoppas få hela Adobes programsvit gratis...

The Safe Mac >> iWorm method of infection found!

Aj, det hade jag inte räknat med. Min Yosemite är i stort sett tom. Skulle vilja ha lite råd innan jag gör någonting drastiskt.

Är det bästa att radera hela partition inklusive backup?

Jag betalar alltid för min mjukvara så att ingen tror något annat. Men googlade mig fram till Alfred om jag minns rätt och hittade en torrent den vägen, då min licensierade variant inte var kompatibel till Yosemite.

  • Medlem
  • Göteborg
  • 2014-10-04 16:05
Ursprungligen av koffas:

Aj, det hade jag inte räknat med. Min Yosemite är i stort sett tom. Skulle vilja ha lite råd innan jag gör någonting drastiskt.

Är det bästa att radera hela partition inklusive backup?

Om du har en backup från en tidpunkt där du är helt säker att du inte var infekterad av trojanen - till exempel när Yosemite var nyinstallerat - så kan du ju återgå till den.

  • Medlem
  • Göteborg
  • 2014-10-04 16:20
Ursprungligen av koffas:

Jag betalar alltid för min mjukvara så att ingen tror något annat. Men googlade mig fram till Alfred om jag minns rätt och hittade en torrent den vägen, då min licensierade variant inte var kompatibel till Yosemite.

Nej jag har aldrig trott något annat om dig. Det finns en enkel grundregel som säger att man aldrig ska skriva in sitt lösenord vid installationer om man inte litar på utvecklaren till 100 procent. Det är en regel jag ofta brutit mot. Man är ju nyfiken. Och det verkar ju seriöst, jag litar på det till 95 procent...

Om du är ganska säker på hur trojanen kom in så kan du ju tipsa Tomas Reed precis som någon hade gjort i länken i mitt tidigare inlägg. Han kanske vill leka med din installationsfil, och om han i sin tur vidarebefordrar infon till Apple så uppdateras deras lista av kända malware och OSX inbyggda säkerhetsfunktioner snabbare. Han är en ideell kraft som driver sidan The Safe Mac som hjälper med problemet AdWare, ett område som komersiella antivirusprogram och Apple inte adresserar.

Sådär tog bort hela partition med Yosemite och installerade en clean installation av Mavericks. Nu vill jag inte röra Yosemite tills den officiella versionen släpps.

Ursprungligen av koffas:

Sådär tog bort hela partition med Yosemite och installerade en clean installation av Mavericks. Nu vill jag inte röra Yosemite tills den officiella versionen släpps.

Det är väl annat än Yosemite du inte bör röra.

Ursprungligen av reboot81:

Det är väl annat än Yosemite du inte bör röra.

Haha

  • Avstängd
  • Bangkok Thailand
  • 2014-10-05 09:18
Ursprungligen av koffas:

Haha

Förstår inte det roliga att du skyller på Yosemite att du blivit infekterad när du varit "dum" att installera ett program från en torrent sida!!!

Ursprungligen av koffas:

Jag betalar alltid för min mjukvara så att ingen tror något annat. Men googlade mig fram till Alfred om jag minns rätt och hittade en torrent den vägen, då min licensierade variant inte var kompatibel till Yosemite.

Ska du plocka ner program via torrent så rekommenderas denna sida. Garanterat fria från malware, innehåller allt du någonsin behöver. Det är ett utmärkt sätt att distribuera programvara. De tar säkert emot donationer.

https://www.debian.org/CD/torrent-cd/

  • Avstängd
  • Bangkok Thailand
  • 2014-10-05 14:24
Ursprungligen av koffas:

Jag betalar alltid för min mjukvara så att ingen tror något annat. Men googlade mig fram till Alfred om jag minns rätt och hittade en torrent den vägen, då min licensierade variant inte var kompatibel till Yosemite.

Med andra ord så betalar du inte alltid för din mjukvara. Du har ju tagit hem en torrent-fil innehållandes en Yosemite-kompatibel version av det program du önskar köra - dvs. du betalar inte för den kompatibla versionen.

Hur som helst. Att ladda hem programvara på de där sätten kommer alltid att vara förenat med risker. Du vet i princip aldrig om du får en programvara som är fritt från skräp. Bästa är att hålla sig till vad tillverkarna själva erbjuder via sina källor.

Ursprungligen av John A:

Ska du plocka ner program via torrent så rekommenderas denna sida. Garanterat fria från malware, innehåller allt du någonsin behöver. Det är ett utmärkt sätt att distribuera programvara. De tar säkert emot donationer.
https://www.debian.org/CD/torrent-cd/

Debian innehåller inte Office-paketet, Adobe-suiten och andra programvaror som många använder. Med andra ord är det för många långt ifrån något som innehåller att man någonsin behöver.

  • Skribent
  • Sollentuna
  • 2014-10-05 16:24
Ursprungligen av maskh:

Debian innehåller inte Office-paketet, Adobe-suiten och andra programvaror som många använder. Med andra ord är det för många långt ifrån något som innehåller att man någonsin behöver.

Det är John A fullt medveten om, han är bara ute efter att provocera och predika för open source.

Ursprungligen av Vassius:

Det är John A fullt medveten om, han är bara ute efter att provocera och predika för open source.

I det här fallet var det snarare för att påpeka att det till skillnad från vad lappen71 skrev inte är det minsta dumt att installera programvara från torrent, jämfört med andra applikationsprotokoll. Debian är ett bra exempel på en stor mängd programvara som distribueras över just torrent, och att det knappast är dumt att installera Debian bara för att man hämtar det över just torrent. Det som är dumt är att installera programvara från icke betrodda källor, då denna t. ex. kan innehålla malware som i fallet i den här tråden.

Det var också riktat till koffas, att man inte nödvändigtvis måste betala för all programvara. En hel del programvara är fri att ta del av. Debian är naturligtvis ett bra exempel på det. Har man inte rätt licens till Alfred och inte vill betala för en ny, då kan man t. ex. använda Quicksilver. Det finns alternativ som inte innebär att man måste välja mellan en piratkopia eller att betala, och det är inget fel på det.

Senast redigerat 2014-10-05 23:28
Ursprungligen av lappen71:

Skyddar Xprotect även om datorn redan är infekterad?

Ps. jag har inga maskar i min

  • Medlem
  • International user
  • 2014-10-06 17:10
Ursprungligen av John A:

I det här fallet var det snarare för att påpeka att det till skillnad från vad lappen71 skrev inte är det minsta dumt att installera programvara från torrent, jämfört med andra applikationsprotokoll. Debian är ett bra exempel på en stor mängd programvara som distribueras över just torrent, och att det knappast är dumt att installera Debian bara för att man hämtar det över just torrent. Det som är dumt är att installera programvara från icke betrodda källor, då denna t. ex. kan innehålla malware som i fallet i den här tråden.

Det var också riktat till koffas, att man inte nödvändigtvis måste betala för all programvara. En hel del programvara är fri att ta del av. Debian är naturligtvis ett bra exempel på det. Har man inte rätt licens till Alfred och inte vill betala för en ny, då kan man t. ex. använda Quicksilver. Det finns alternativ som inte innebär att man måste välja mellan en piratkopia eller att betala, och det är inget fel på det.

Hmm, bäst är det att tanka hem från ursprungskällan direkt. Om de då använder torrents så är man ju illa tvungen. Men i övrigt bör man avstå.

Ursprungligen av juanito:

Hmm, bäst är det att tanka hem från ursprungskällan direkt. Om de då använder torrents så är man ju illa tvungen. Men i övrigt bör man avstå.

Som @John A skriver så är torrents ett alldeles ypperligt sätt att distribuera mjukvara. Att utvecklingen av torrentprotokollet till viss del har drivits på av pirater spelar mindre roll. Det är många duktiga hackers som bidragit till den succé som bittorrenttekniken är. Fler företag borde distribuera sina programvaror på det sättet, det sparar mängder av bandbredd - alltså pengar för företagen och kan i de flesta fall bidra till en snabbare nedladdning. Det är olyckligt att folk som hör "torrent" enbart förknippar det med piratkopiering. Ungefär som att en "hacker" alltid är en kriminell i vanligt folks ögon.

  • Medlem
  • International user
  • 2014-10-06 18:29
Ursprungligen av suddgummi:

Som @John A skriver så är torrents ett alldeles ypperligt sätt att distribuera mjukvara. Att utvecklingen av torrentprotokollet till viss del har drivits på av pirater spelar mindre roll. Det är många duktiga hackers som bidragit till den succé som bittorrenttekniken är. Fler företag borde distribuera sina programvaror på det sättet, det sparar mängder av bandbredd - alltså pengar för företagen och kan i de flesta fall bidra till en snabbare nedladdning. Det är olyckligt att folk som hör "torrent" enbart förknippar det med piratkopiering. Ungefär som att en "hacker" alltid är en kriminell i vanligt folks ögon.

Jag förknippar inte torrents nödvändigtvis med piratkopiering. Som jag sa om original källan enbart använder det så är man ju tvungen. Men det är annars att undvika.

Det sparar verkligen inte bandbredd för någon annan än för den som distribuerar, och jag ställer mig tvekandes till hur säkert det är.

  • Medlem
  • Stockholm
  • 2014-10-06 22:59
Ursprungligen av MalcomX:

Skyddar Xprotect även om datorn redan är infekterad?

Ps. jag har inga maskar i min

Bra fråga, "lagar" Xprotect ens dator när den uppdateras?

  • Medlem
  • Göteborg
  • 2014-10-07 00:50
Ursprungligen av MalcomX:

Skyddar Xprotect även om datorn redan är infekterad?

Ps. jag har inga maskar i min

Ursprungligen av acke:

Bra fråga, "lagar" Xprotect ens dator när den uppdateras?

Nej, "XProtect" skyddar inte datorn om du redan installerat en trojan, och när Apple uppdaterar listan med kända trojaner (XProtect.plist-filen) så händer inget annat än att du från och med nu får en varning om du försöker installera en av dessa kända trojaner. Det krävs manuell åtgärd eller ett tredjeparts antivirusprogram för att isolera och oskadliggöra en trojan som redan är installerad.

Detta är det enda "XProtect" gör - hindrar dig att installera en trojansk häst som redan är känd

Apple använder inte själv termen XProtect i sin information. De förklarar OSX inbyggda säkerhetsfunktioner i supportdokumentet jag länkar till i inlägg #10 och använder begreppen File Quarantine, Known malware check (som bygger på listan i XProtect.plist-filen) och Gatekeeper. Svensk översättning här:
OS X: Om varningen "Är du säker på att du vill öppna den?" varning (Filkarantän/Identifiering av kända sabotageprogram)

För att så anknyta till diskussionen om torrentprogram här ovan så läste jag just nu om en säkerhetsrisk som faktiskt finns i att hämta filer den vägen. Men det har inte med ett dugg med bittorrent-tekniken i sig att göra, utan kan finnas hos alla tredjepartsprogram som har möjlighet att hämta en fil, oavsett om det är ett ftp-program, webläsare eller torrentprogram. OSX säkerhetsfunktion bygger på att program som laddar ner filer använder sig av Apples API för File Quarantine som flaggar filen för kontroll med Known malware check och Gatekeeper vid första körningen. Om tredjepartsprogrammet inte flaggar filen för File Quarantine så finns det en bakdörr förbi OSX inbyggda säkerhetsfunktion.

Allt detta återigen enligt Tomas Reed:
Mac Malware Guide : How does Mac OS X protect me?

1
Bevaka tråden