Den första trojanen till Mac OS X är lös

Tråden skapades och har fått 38 svar. Det senaste inlägget skrevs .
  • Medlem
  • International user
  • 2006-02-17 09:56

Går man på den så får man skylla sig själv.

  • Oregistrerad
  • 2006-02-17 12:55

Snyggt.... eller inte.

  • Medlem
  • Stockholm
  • 2006-02-17 18:08

Är det verkligen att klassa som ett virus om man aktivt måste aktivera den själv i flera steg?

I så fall kan man ju klassa Skivverktyg som ett virus - det programmet kan ju radera hårddisken! Man måste visserligen starta från en CD och trycka på "Radera"-knappen själv, men den raderar ju hårddisken!

Detta virus gör ju inte ens någon skada - den kopierar bara sig själv. Att skriva ett program som kopierar sig själv är väl inte alls svårt?
Definitionen av vad ett virus är verkar bara handla om hurvida man känner till programmets funktion eller inte.

Senast redigerat 2006-02-17 18:47
Ursprungligen av Rajje:

Är det verkligen att klassa som ett virus om man aktivt måste aktivera den själv i flera steg?

I så fall kan man ju klassa Skivverktyg som ett virus - det programmet kan ju radera hårddisken! Man måste visserligen starta från en CD och trycka på "Radera"-knappen själv, men den raderar ju hårddisken!
....

Haha, bra jämförelse Fullt korrekt också, det är ju precis samma sak. Tycker man varje dag hör "första-virsuet-till-Mac". Men det här är ju varken en trojan eller virus. Som Gunnar B skrev, malware är en bättre beteckning.

Malware som man själv aktivt installerar genom att dessutom skriva in adminlösenord :rolleyes:

  • Medlem
  • Göteborg
  • 2006-02-18 17:02

Det är en trojan i den bemärkelsen att det är en fil som utger sig för att vara något annat än vad den egentligen är. Dessutom har den, till skillnad från tidigare mindre lyckade försök, ett sätt att sprida sig själv vilket kan passera obemärkt om man, likt de flesta, inte kör som användare utan administratör. Virusskaparna har sålunda kommit ett steg närmre det första viruset för Mac OS X med detta försöket. Det krävs dock fortfarande alldeles för mycket hjälp av den som sitter vid datorn för att någon större skada och spridning skall kunna inträffa, så jag betraktar oss än så länge som virusbefriade och säkra från lyckade attacker mot Mac OS X.

  • Medlem
  • International user
  • 2006-02-18 21:40

Tror att dom flesta inser att det verkar mycket märkligt att man skall ange admin-lösenordet för att se en jpeg-bild.

/ E

  • Medlem
  • Stockholm
  • 2006-02-22 07:48
Ursprungligen av helmer:

likt de flesta, inte kör som användare utan administratör. Virusskaparna har sålunda kommit ett steg närmre det första viruset för Mac OS X med detta försöket. Det krävs dock fortfarande alldeles för mycket hjälp av den som sitter vid datorn för att någon större skada och spridning skall kunna inträffa, så jag betraktar oss än så länge som virusbefriade och säkra från lyckade attacker mot Mac OS X.

Att den kräver adminbehörigheter verkar ju vara pga av att trojan tillverkaren inte tänkt till riktigt.
Det enda den behövt göra vore att enbart installera sig till Inputmanager i användarens egen katalog utan att försöka modifiera några program som ligger i /applications.

En inputmanager laddas när alla program startas även dom i /Applications, tex så använder sig Saft detta för att hooka in sig i Safari.

Vad jag har gjort är att ta bort mina egna skrivrättigheter och satt admin som ägare i ~/Library/InputManagers (Jag kör normalt med en användare som inte ens har sudo rättigheter till systemet)

Detta gjorde jag redan för ett tag sen när hela historien med Crashreporter som vissa program installerade utan att fråga, men detta är ytterligare en anledning.

Detta kan ni göra från terminalen eller så kan man använda sig utav detta applescript (som kör terminal kommandona från ett litet gui)
http://www.versiontracker.com/dyn/moreinfo/macosx/29175&vid=269578

Att man behöver adminbehörigheter för att ändra systemet har man kommit runt på unixbaserade system i många år genom att unyttja lokalt installerade programs svagheter för att elevera malwares privilegier. (Om jag inte minns fel har det patchats några sådana fel i OS X)

Med andra ord är det ingen garanti att man måste vara admin för att ändra saker i systemet, det gör det dock svårare är i tex windows.

Safe computer practices bör man tillämpa även om man sitter på en mac för eller senare kommer någon att hitta ett hål som kan utnyttjas.

  • Medlem
  • Gävle
  • 2006-02-22 09:25
Ursprungligen av Stickan:

Att den kräver adminbehörigheter verkar ju vara pga av att trojan tillverkaren inte tänkt till riktigt.
Det enda den behövt göra vore att enbart installera sig till Inputmanager i användarens egen katalog utan att försöka modifiera några program som ligger i /applications.

En inputmanager laddas när alla program startas även dom i /Applications, tex så använder sig Saft detta för att hooka in sig i Safari.

Detta, om något, är ju Mac OS X främsta säkerhetshål.

Att skriva virus/trojaner för Mac idag är faktiskt ganska tacksamt, t.ex. denna svaghet vore ju helt underbar ur en virusmakares ögon -- att kunna "smitta" andra filer utan att ens ändra på dem (mha InputManagers, som du mycket riktigt nämner går att skapa utan admin-rättigheter)!

En annan svaghet jag ser med Mac OS X är svårigheten för användaren att definitivt avgöra filtypen, eller åtminstonde huruvida filen är exekverbar eller ej -- filändelsen är ju inte nödvändig så det går ju ganska enkelt att dölja i ikonvyn vad det _egentligen_ är för slags fil. Jag anser att exekverbara filer bör "flaggas" på något vis, så att man alltid kan titta på en fil och direkt se att filen är en applikation/script.

Ursprungligen av Jogin:

Jag anser att exekverbara filer bör "flaggas" på något vis, så att man alltid kan titta på en fil och direkt se att filen är en applikation/script.

Det värsta med det här är att inte ens då går man säker. jag kommer att tänka på två exempel-scenarion:

• Någon släpper (olagligt) en kopia att ett åtråvärt program på valfri fildelningstjänst. Filen innehåller egentligen bara en massa skräp och en enda egentlig programrad: att köra terminalkommandot rm -Rf * som helt sonika raderar allt den kan när den inte ont anande fildelaren startar sitt byte för första gången. Något som också hänt flera gånger.

• Någon skriver ett program t.ex. att kolla Gmail eller automatiskt montera en iDisk eller server på skrivbordet när datorn skapas. Programmet fungerar normalt den första tiden, men gömt inne i koden finns extra kod som aktiveras på utsatt tid/signal och kanske spelar in användarnamn och lösenord och skickar det till en anonym server. Eller utför något annat fuffens.

Så länge vi människor är människor kommer vi garanterat att kunna bli lurade på ett eller annat sätt, det ligger i vår natur att acceptera det vi omedelbart ser och vara godtrogna till en viss grad.

  • Medlem
  • Örebro
  • 2006-05-19 03:17
Ursprungligen av Rajje:

Är det verkligen att klassa som ett virus om man aktivt måste aktivera den själv i flera steg?

I så fall kan man ju klassa Skivverktyg som ett virus - det programmet kan ju radera hårddisken! Man måste visserligen starta från en CD och trycka på "Radera"-knappen själv, men den raderar ju hårddisken!

Detta virus gör ju inte ens någon skada - den kopierar bara sig själv. Att skriva ett program som kopierar sig själv är väl inte alls svårt?
Definitionen av vad ett virus är verkar bara handla om hurvida man känner till programmets funktion eller inte.

Sprider sig skivverktygen automatiskt?

Hoppas vi inte ser en fortsatt utveckling på detta med virus som verkligen fungerar och skapar stor skada.

  • Medlem
  • Norrköping
  • 2006-02-17 18:51

Hur petiga ska vi bli?
Den generella benämning på den här typen av kod är väl "malware" (kod med skadligt innehåll).
Den mer specifika benämning blir väl i så fall "trojan", alltså något som utger sig för att vara något annat än vad det är.

Hur som helst, trist är det. Men det är kanske bra att även vi Macare väcks ur törnrosasömnen.

  • Medlem
  • Täby
  • 2006-02-19 01:03

Jag läste någonstans att om man va admin för datorn så krävdes inte admin-lösenordet, men jag trodde att man alltid var tvungen att skriva in sitt lösenord när man gör något utanför "vanliga" operationer.

Man behöver inte lösenordet. Däremot drabbas bara Cocoa-apps som ägs av user. Alltså inte standard-uppsättningen som medföljer OS X, då dessa ägs av system. Det sprids via iChat men då bara via Bonjour och endast då Bonjour ändrar status. Alltså kan vi inte förvänta oss att få hem Leap-A men det kanske kommer någon mer effektiv variant i framtiden, om några år.

  • Medlem
  • Täby
  • 2006-02-19 13:20

men om den bara går på apps som ägs av user, borde den inte kunna gå på apps som ägs av en user som inte är admin? är detta nånting man ska tänka på och kanske inte vara inloggad som admin?

  • Medlem
  • Gävle
  • 2006-02-22 10:24

Niklas: Helt riktigt, sånt går ju aldrig att undvika. Det gäller att använda sitt omdöme när man installerar ett program -- litar jag på denna programmakare? Om programmakaren är liten/okänd så kan det ju vara bra att Googla om programmet först, läsa kommentarer om det osv.

  • Medlem
  • Stockholm
  • 2006-02-22 13:18
Ursprungligen av Jogin:

Niklas: Det gäller att använda sitt omdöme när man installerar ett program -- litar jag på denna programmakare? Om programmakaren är liten/okänd så kan det ju vara bra att Googla om programmet först, läsa kommentarer om det osv.

Absolut, detta har jag tillämpat sen jag börjad använda en dator för 20 år sedan, själva "googlandet" har ju underlättats den tid man tankade hem program via BBS'r.

Har ännu inte drabbats av varken virus eller trojaner på denna tid fast jag testar alldeles för mycket programvara.

Iofs skall jag väl kvalificera drabbats med: "Jag har inte drabbats såvitt jag vet."

Här är lite information till, från Symantec

  • Oregistrerad
  • 2006-05-18 23:34

Jag tror att jag tillhör dumskallarna som har drabbats nu.

Det sprider sig en DS_STORE fil på min dator och dom går inte att få bort.
När jag raderar en fil så poppar den bara upp på samma ställe igen.
Den börjar fylla min hårddisk nu så jag har lite panik.
Det kommer bara fler och fler.
Är det ett Trojansk skithål eller?

Har ni nåt råd??

  • Medlem
  • Täby
  • 2006-05-18 23:39

jag tror det är en systemfil som os x skapar för att hålla reda på info om katalogen.

  • Medlem
  • Göteborg
  • 2006-05-18 23:43
Ursprungligen av sommer:

jag tror det är en systemfil som os x skapar för att hålla reda på info om katalogen.

Helt rätt, .DS_STORE finns i samtliga kataloger i OSX och är helt normalt.

  • Oregistrerad
  • 2006-05-18 23:43

Men nu förökar den sig hela tiden och fyller ut min hårddisk.
Jag fattar ingenting?
Den lägger en sån fil i varje mapp på datorn.

  • Oregistrerad
  • 2006-05-18 23:46

Ok.

Men vad är det då som fyller ut min hårddisk?
Den har fyllt ut typ 5GB utan att jag har laddat hem nåt och jag hittar inget.
Den fortsatte fylla även när jag drog ur internetkabeln och startade om datorn.

  • Medlem
  • Göteborg
  • 2006-05-18 23:50
Ursprungligen av Imperial Gunnar:

Ok.

Men vad är det då som fyller ut min hårddisk?
Den har fyllt ut typ 5GB utan att jag har laddat hem nåt och jag hittar inget.
Den fortsatte fylla även när jag drog ur internetkabeln och startade om datorn.

Det är lite svårare att svara på. Det skulle kunna vara en swap-fil som du märker av, dvs en fil på hårddisken som primärminnet kan skriva saker till när det är fullt (vilket också är helt normalt, swap-filer brukar ta en hel del plats).

Men jag är inte säker, någon som har bättre koll kanske kan svara på detta?

  • Medlem
  • Täby
  • 2006-05-18 23:51

kommer inte ihåg att trojanen skulle fylla upp hårddisken den la lite filer i programmappar som ichat och dylikt.

  • Medlem
  • Gävle
  • 2006-05-18 23:54

Hahahaha..

  • Medlem
  • Göteborg
  • 2006-05-18 23:58
Ursprungligen av Jogin:

Hahahaha..

Visst kan jag se det komiska i situationen... men man kan ju försöka hjälpa till istället?

Ursprungligen av Imperial Gunnar:

Men det är alltså normalt att det ligger en .DS_Store fil i varje mapp?

Jajjamensan, inget att oroa sig över

  • Oregistrerad
  • 2006-05-18 23:57

Men det är alltså normalt att det ligger en .DS_Store fil i varje mapp?

  • Oregistrerad
  • 2006-05-19 00:06

Tack!

Då får jag avvakta.

Förresten kan man göra nåt åt den där SWAP-filen?
Måste den ta så stor plats eller är det nåt man kan radera?

Jo jag hade väntat mig att folk skulle tycka det var kul ja.
Och det är det väl kanske.

Senast redigerat 2006-05-19 00:33
Bevaka tråden