“Spyware/malware voor Mac OS X”

Door: JeePee - 22 reacties

Volgens verschillende sites, waaronder MacInTouch.com zou het eerste Mac OS X-virus een feit zijn. Toch zijn er diverse sites die hier denk ik terecht hun vraagtekens bij zetten, zoals Security.nl, MacFreak.nl en MrBarrett.com. Deze laatste is heel duidelijk en is niet zo bezorgd: “Het betreffende script kan alleen door een administrator geïnstalleerd worden, waarna het zichzelf in de opstartfolder nestelt. Het kan ook geïnstalleerd worden door vanaf een andere schijf op te starten en daar vandaan de malware te installeren, op die manier zijn er geen administratorrechten nodig en dus ook geen wachtwoord, permissies worden namelijk op die manier genegeerd. Je kunt absoluut niet geïnfecteerd raken door gewoon wat op internet te surfen, je wordt beschermd door het feit dat er voor de meeste installaties standaard een administratorwachtwoord nodig is.”

Een mogelijkheid om dit script geïnstalleerd te krijgen is het in een aantrekkelijk jasje te steken, waardoor een administrator verleid wordt het te downloaden en te installeren, waarna het schadelijke gevolgen kan hebben. Zo kan het bepaalde programma’s uitschakelen en gaat het op zoek naar serienummers en wachtwoorden. Zie voor meer informatie en testen om te zien of je het in je Mac hebt zitten, onderstaande links.

Bronnen: Security.nl, MacInTouch.com, MacFreak.nl, MrBarrett.com

Reacties

22 reacties
  • Profielfoto
    hydro

    Om te zien of je dit je Mac hebt staan, open de Terminal(Hulpprogramma’s/Terminal) en typ het volgende in:
    sudo ls -l /Users/*/Public/.info

    Als alles oké is, krijg je te zien:
    ls: /Users/*/Public/.info: No such file or directory

    Krijg je iets anders, dan is het waarschijnlijk een goed idee om eens te gaan rondsnuffelen in je StartupItems-map.

  • Profielfoto
    Qorne

    voor alle duidelijkheid HET IS GEEN VIRUS ook GEEN TROJAN.
    je moet het zelf installeren!

    Dus ga nou niet lopen zeuren van Het is een VIRUS :/ :angry:

  • Profielfoto
    hydro

    :p Nee, het is ook geen virus, maar een script wat dingen verneukt. gewoon even opletten als je weer eens van die wazige en illigale software enzo gaat installeren.

  • Profielfoto
    JeePee

    Ik was er al van overtuigd dat het geen virus was, is dat niet duidelijk in het artikel? ???

    Malware en spyware is iets anders dan virussen, trojans en wormen.

    Dit zijn zaken die het script uitvoert:

    # tries to install ohphoneX, a teleconferencing program
    # kills LittleSnitch before every Internet connection it makes
    # installs a keystroke recorder
    # creates a hidden account
    # grabs the open-firmware password
    # Installs OSXvnc
    # Grabs your office 2004 PID (serial number), as well as serial numbers for Mac OS XServer, adobe registrations, VirtualPC 6, Final Cut Pro, LittleSnitch, Apple Pro Apps, your DynDNS account, Timbuk2, and webserver users.
    # tries to decrypts all the MD5 encrypted user passwords
    # decrypts all users keychains.
    # grabs your AIM logs, and other settings and preferences with info you probably don’t want others to have
    # grabs stuff from your Classic preferences
    # changes your Limewire settings to max out your upload and files.
    # installs dsniff to sniff for passwords
    # has your daily cron task try to get your password from the virtual memory swapfile
    # installs an app called John The Ripper – a password cracker that uses a dictionary method to crack passwords
    # turns on file sharing and places the information it gathers in a hidden directory called .info inside your public folder.

    Maar goed, wees niet bang, je moet er wederom wat voor doen om het binnen te halen en te installeren :p

  • Profielfoto
    Strifer

    “ls: /Users/*/Public/.info: No such file or directory”

    YAY!

  • Profielfoto
    japser909

    Klik hier om je OSX nog sneller te maken !!! FREEWARE ( met blote tieten… )… zoiets ?:p

  • Profielfoto
    Jlle

    Goed, dit is dus gewoon een script, heeft dus totaal niets te maken met een virus, trojan of wat dan ook. Wel een mooi scriptje trouwens.

    Iedereen kan een 1 regelig scriptje maken dat je HD leeg poetst in paar seconden (rm -r)…. is ook geen virus.

    Niets aan de hand….

  • Profielfoto
    aaike

    Even gevaarlijk als het typen van sudo rm -r / in de terminal (how stupid could you be?)… of zelfs nog niet?

  • Profielfoto
    PaddoPad

    Ik krijg: no match. Is dit erg?

  • Profielfoto
    klaasb

    Ja heel erg, download het programm van jasper 909. Je kan dan naar blote tieten kijken om het leed te verzachten:)

  • Profielfoto
    M10

    —————
    m10% sudo ls -l /Users/*/Public/.info
    tcsh: sudo: No match.
    m10% sudo ls -l /Users/*/Public/.??*
    Password:
    -rw-r–r– 1 alex alex 0 9 Oct 21:30 /Users/alex/Public/.localized
    -rwxr-xr-x 1 m10 staff 6148 17 Aug 2003 /Users/m10/Public/.DS_Store
    -rw-r–r– 1 m10 staff 0 10 May 2003 /Users/m10/Public/.localized
    m10%
    —————–
    Ben je bezorgd over de output “No Match” vrees dan niet. De commandline die ze gebruikt hebben is niet altijd even tacktisch. Ik denk dat het verschil er uit bestaat dat er meer dan een gebruiker op zo’n machine is gedefinieerd.
    Met het einde in .??* krijg je ALLE onzichtbare files te zien in alle Publics. Kan je met de hand (oog?) kijken of .info er ook bij staat.

  • Profielfoto
    M10

    Voor ieder die denkt dat ie nou echt meteen weet of ie veilig is even de volgende overweging:

    Het is echt een eitje om andere files te maken die je niet zomaar opmerkt en dezelfde functie hebben als die .info file.
    Kijk maar eens naar deze regels:
    m10% sudo ls -l /Users/*/Public/.??*
    Password:
    -rwxr-xr-x 1 alex alex 6148 24 Oct 09:02 /Users/alex/Public/.DS_Store
    -rwxr-xr-x 1 m10 staff 6148 17 Aug 2003 /Users/m10/Public/.DS_Store

    Zie je het verschil, het is er wel hoor. De eerste die het meld krijgt een eervolle vermelding;-)

    Oftewel, Trojans zijn echt wel link in een wereld waar je toch regelmatig je admin-password gebruikt om weer eens iets uit te proberen. Het kan dus geen kwaad als Apple daar de touwtjes nog eens iets strakker gaat aantrekken.

  • Profielfoto
    flax

    sudo Is -I/Users/*/Public/.info

    We trust you have received the usual lecture from the local System
    Administrator. It usually boils down to these two things:

    #1) Respect the privacy of others.
    #2) Think before you type.

    Password:

    Moet ik mij zorgen maken?????

  • Profielfoto
    flax

    oeffff, niets aan de hand.
    :p :p :D

  • Profielfoto
    JanWeijers

    Kennen jullie die oude windows-grap nog?

    “User error. Replace User.”

    Dit is echt geen virus. Maar wel een lesje dat je even na moet denken voordat je een password intikt. En het in geval van twijfel niet doen. En geen software van dubieuze afkomst installeren. Maar dat wisten we toch allemaal al?

    Jan

  • Profielfoto
    JeePee

    Er is inmiddels iemand die het getest heeft (en gereageerd heeft op MrBarrett.com) en het werkt…
    “I just downloaded the osxrk (OS X rootkit) from PacketStormSecurity and installed it on a test G3 running 10.2 and all I can say is… wow.

    It cracked the passwords for all three accounts on that machine in under 20 minutes – and they are actually pretty tough passwords but i had used my dog’s rabies vaccination tag # for one of them and that string was also in a text file in my home folder on the machine. The script appears to gather files from the users folders and create a wordlist for the password cracker that it installs.

    I did not have to authenticate to drag it in to /library/startupitems, it just went right in and then one restart and wham-o.

    Still looking at the backdoor stuff it installs…”

  • Profielfoto
    JeePee

    En ook op Security.nl zijn ze er nu helemaal achter ;) http://www.security.nl/article/9058/1

  • Profielfoto
    tost

    @japser909::D
    en serieus: als je je admin paswoord gebruikt moet je weten wat je doet, altijd en overal, toch? Jan Weijers heeft helemaal gelijk.
    Maar stel nu dat die gasten een installer maken die er precies hetzelfde uitziet als de installer van één of ander populair programma, en ze maken die beschikbaar op de meest gebruikte peer-to-peer netwerken?
    Volgens mij is het een complot van de software producenten om het risico van illegaal downloaden te verhogen :O :D ;)

  • Profielfoto
    tost

    Trouwens, ligt het aan mij of zijn we met z’n allen aan het wàchten op dat eerste virus? Iedereen praat erover maar nog niemand heeft er een gezien. Er waren wel een paar meldingen, maar die bleken achteraf logisch te verklaren. OS X Virussen zijn dus een soort aliens als ik het goed begrijp.

  • Profielfoto
    JeePee

    Ik denk dat je gelijk hebt tost, maar het lijkt me logisch dat we er op wachten… en wachten… en wachten…. en…:P Ik denk dat we niet het enige platform zijn dat wacht op een virus voor de Mac, dan kunnen ze ons uit gaan lachen…;)

  • Profielfoto
    Night

    Maaruh, kunnen Norton, MacAffee en overige virusscanners (uiteraard voor OSX) ermee overweg (lees: dit indien per ongeluk tóch geïnstalleerd, verwijderen)?

  • Profielfoto
    Expertmurderboy007

    We trust you have received the usual lecture from the local System
    Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

    Password:

    dit is wat ik krijg, moet ik mij zorgen maken??