Virus voor Mac OS X?

Door: ifeelfine - 69 reacties

Zou het eindelijk zover zijn? Een echt virus voor Mac OS X? Ik moet je teleurstellen, het scriptje dat sinds gisteren de wereld van Apple onveilig maakt, is slechts een vreemde mix tussen een irritant script en een soort virus. En voor de meeste Maccers met een beetje verstand is het volledig ongevaarlijk.

Op het forum van Macrumors.com dook gisteren een link op naar “de nieuwste screenshots van Leopard” (Mac OS 10.5). Wie erop klikte, kwam echter bedrogen uit. Er wordt een bestand gedownload dat latestpics.tgz heet. Vervolgens moet het bestand uitgepakt worden en verschijnen er twee bestandjes. Wanneer het bestand ‘latestpics’ geopend wordt, zal er bij de meeste gebruikers om het admin-password gevraagd worden. Wanneer je dat intikt en bevestigt, zal het bestand zich in /tmp installeren en via Spotlight alle applicaties zoeken om ze onklaar te maken. Je zult alle geïnfecteerde programma’s dus niet meer kunnen draaien. Hetzelfde geldt voor alle andere gebruikers die een van de programma’s willen gebruiken.

En dat is niet het enige dat gebeurt. Het bestandje zal zichzelf vervolgens via iChat aan je vriendenlijst aanbieden, in de hoop dat zij ook geïnteresseerd zijn in “de nieuwste screenshots van Leopard”.

Het script maakt geen gebruik van enige beveiligingsfouten in Mac OS X en is gewoon een simpel in elkaar geknutseld programmaatje dat vertrouwt op de nieuwsgierigheid van gebruikers om hun systeem onklaar te maken. Het verspreidt zich echter wel door middel van een stukje van zijn code, en daarom mag het officieel een virus heten.

Omdat de meeste gebruikers hun Mac zo hebben ingesteld dat er vóór het installeren van ieder script of programma om het admin-password wordt gevraagd, zullen de veel gebruikers dit virus op tijd kunnen afslaan. Hoewel, wanneer men gebruik maakt van de admin-account wanneer het virus binnenkomt, zal er niet om het admin-password gevraagd worden. Het devies luidt dan ook als volgt: Download geen bestanden waarvan je niet 100% zeker bent wat erin zit, laat altijd om een admin-password vragen bij installatie of zorg dat je niet vanuit een admin-account werkt en mocht je iets verdachts aangeboden krijgen via iChat of een ander chatprogramma, open het dan gewoon niet. You’d better be safe than sorry!

Bronnen: Ambrosia Software Board; Macrumors; Sophos

Met dank aan darh voor de tip.

Reacties

69 reacties
  • Profielfoto
    Rickje

    Virus op de Mac was al een gek idee :D

  • Profielfoto
    HSL

    even voor de goede orde “Dit is GEEN trojan” en ook geen virus.
    gewoon een scriptje.

  • Profielfoto
    So Klear

    …beter luck next time…

  • Profielfoto
    Jean-Jacques

    Jah, schrok al toen ik het hoorde maar toch volledig onschadelijk:D

  • Profielfoto
    Remon

    Beetje raar idee hopen dat het hierbij blijft en dat het
    geen echte virussen worden.

    Aangezien apple alles zo heeft gemaakt dat alles
    met elkaar samen werkt hoop ik niet dat je via
    iChat heel snel en makkelijk virussen kan versprijden.
    Hetzelfde geld voor adressenboek dat hij alle adressen
    eruit haald en het virus naar diegene stuurd.

  • Profielfoto
    Esquare

    Zo te zien veroorzaakt het ‘virus’ vooral spelvouten. :D

  • Profielfoto
    Rickje

    Via Adresboek => Mail of iChat, ja
    Misschien via Remote Desktop computers die jij hebt toegevoegd in LAN

    ;)

  • Profielfoto
    Daan.

    ’t word dus toch tijd voor virus scanner, om ook dit soort scripten tegen te houden.

  • Profielfoto
    roborob

    En “toevallig” ontdekt door een anti-virus bedrijf. http://www.sophos.com/pressoffice/news/articles/2006/02/macosxleap.html ???
    De inkomsten waren zeker aan het dalen.

  • Profielfoto
    Walkingfingers

    laat de windowers lekker denken dat wij ook zoeits hebben!! blijven ze lekker op hun windowsbakkies en houden wij onze appeltjes toch nog een beetje exclusief!!

  • Profielfoto
    Pandikokku

    Dit is wél een ~Trojan. Kennelijk weet niemand wat een Trojan is. Het is géén virus, dus de titel van dit stukje klopt niet.

  • Profielfoto
    PietjePuk

    @mike: I agree

  • Profielfoto
    Xcode

    Dit is er 1.
    Op de windows zijn het er ontelbaar veel;)
    Als het hopelijk maar bij 1 blijft……

  • Profielfoto
    Timma

    Ik denk dat er doden gaan vallen als we het verschil tussen Trojan en Virus niet weten.

  • Profielfoto
    Xcode

    Timma, leg het eens uit dan;)

  • Profielfoto
    Xserve

    Maar dit had iedereen toch al lang kunnen schrijven? Gewoon een scriptje.

  • Profielfoto
    aperitivo

    ‘Omdat de meeste gebruikers hun Mac zo hebben ingesteld dat er vóór het installeren van ieder script of programma om het admin-password wordt gevraagd’

    Kan je dit dan instellen??

  • Profielfoto
    Xserve

    Nee, dat is automatisch zo, maar sommige mensen (vooral linux-freaks bijvoorbeeld) hebben via tweaks zichzelf root-privileges gegeven. Dan moeten ze geen wachtwoord meer opgeven. En wordt dit dus erg gevaarlijk.

  • Profielfoto
    iAgree

    je kunt zelf op osx ook als root inloggen, maar zoals je aan dit soort dingen merkt is dat niet zo heel verstandig en moet je het alleen maar doen als je een probleem alleen als root kunt oplossen bijvoorbeeld.

  • Profielfoto
    Buzz

    Een paar kleine correcties op het stukje en de reacties: Het is geen scriptje, maar een binaire executable. Verreweg de meeste gebruikers zullen admin rechten hebben, en zullen dus niet met de vraag om een wachtwoord worden geconfronteerd voordat hun applicaties om zeep worden geholpen. Dit stukje malware is niet ontdekt door Sophos, maar door de gebruikers van het MacRumors forum die vrijwel meteen doorhadden dat er iets vreemds aan de hand was. Het programma is vervolgens door Andrew Welch geanalyseerd en bij Sophos aangegeven, en Sophos heeft het vervolgens aan de buitenwereld verkondigd.

    Maar het belangrijkste is dat dit stukje malware niet erg effectief is omdat het voor de geïnfecteerde gebruiker vrij duidelijk is dat er iets aan de hand is. Het zal zich daarom dus niet snel kunnen verspreiden. En in Nederland al helemaal niet, want vrijwel niemand gebruikt hier iChat.

  • Profielfoto
    Nikita

    Ik vraag me af hoe blond je moet zijn om te geloven dat een plaatje je wachtwoord nodig heeft om geopend te worden ???

  • Profielfoto
    Xcode

    Heel blond:p

  • Profielfoto
    net3s

    Te blond ;)

  • Profielfoto
    Mick
  • Profielfoto
    Buzz

    Nogmaals, er wordt niet om je wachtwoord gevraagd als je admin user bent (wat je per definitie bent tenzij je anders hebt aangegeven in je account preferences).

  • Profielfoto
    Josh
  • Profielfoto
    kobekes

    …. maar waar zijn nu die screenshots van Leopard? ;)

  • Profielfoto
    sybian

    op macrumors.com “Update #2: The most recent updates show that the file does send itself to other users in your AIM/iChat buddy list.”
    Zou adium, waarop ten slotte óók AIM en iChat-buddies ‘draaien’, daarmee ook een potentiêel gevaar/doorgeefluik kunnen zijn?

  • Profielfoto
    Whymme

    Kobekes, ik kan je die wel sturen via iChat …

  • Profielfoto
    Alfetta

    Virus op de mac is inderdaad een vreemd idee. In ieder geval een mooi artikel jenneke!:)

  • Profielfoto
    GeryKa

    Schuilt het gevaar van virussen e.d. niet altijd in het uitlokken van mensen om toch op iets te klikken…?
    Of het nu een .exe of een .jpg is, mensen worden lekker gemaakt. En omdat mensen een computer zo gemakkelijk mogelijk willen gebruiken. zonder telkens ww in te voeren, werken ze met privileges die het mogelijk maakt om gewoon zelf een “virusje” te starten.
    Wat is het verschil dan nog tussen Windows en OSX?
    Veiligheid van een systeem zit volgens mij meer in de gebruiker dan in het OS…
    Ik hoop/verwacht alleen bij Apple geen stomme foutjes/lekken zoals Windows dat had met “Blaster en “Sasser”.

  • Profielfoto
    Eprom

    Een het staat voorop de Telegraaf. http://www.telegraaf.nl

  • Profielfoto
    Casper

    Het is zeker weer ergens vakantie… Scriptkabouters…

  • Profielfoto
    iPod Jimmy

    Ik schrik al, maar nee het zijn losers hehehe

  • Profielfoto
    314ter

    Oftewel, dit is een goede reden om niet in een admin account dagelijks werk te doen, maar een admin account alleen te gebruiken voor het doen van installaties en onderhoud.

  • Profielfoto
    ihans

    Je moet ook niet gaan zeuren als je thuis de voordeur open laat staan en er iemand zonder te bellen naar binnen loopt

  • Profielfoto
    iRik

    @kobekes, daar ben ik nou ook wel benieuwd naar:D

  • Profielfoto
    amon-re

    kobekes, je kan waarschijnlijk wel bestanden ontvangen via Adium, maar het virus/worm/trojan/blabla zal het virus niet via Adium kunnen verspreiden.

  • Profielfoto
    kluivers

    tis toch jammer dat er nu iemand is geweest die dit heeft gemaakt. Omdat heel de journalistieke wereld in deze komkommertijd er over gaat schrijven is de kans groot dat er nog meer van die scriptkabouters (goed woord !) opstaan en eens lustig gaan krasse. We zullen het zien. ~Zo zien we weer, blind vertrouwen is nimmer goed.

  • Profielfoto
    Jor1

    En zo denkt Sophos rijk te worden…

  • Profielfoto
    bieker

    Wat is schrikken? Als en ik zeg als er een virus komt voor de Mac dan kopen toch allemaal een anti virusprogje. Kijk dat de Windowsmensen overspoeld worden door virussen wil nog niet zeggen dat ons dat ook gaat overkomen. Rustig de boel in de gaten houden en op tijd reageren. Of zoals ze in de serie Dad’s Army zeggen: no panic, no panic

  • Profielfoto
    sally

    Buzz_D:
    “Verreweg de meeste gebruikers zullen admin rechten hebben, en zullen dus niet met de vraag om een wachtwoord worden geconfronteerd”

    Dat geldt dus sowieso voor vrijwel iedereen die als enige (en of hoofdgebruiker) zijn computer gebruikt.
    Daarom is de geruststellende opmerking over dat vrijwel iedereen zijn mac zo heeft ingesteld….. etc………….. onjuist.
    Een waarschuwing dat de meesten van ons niet om een wachtwoord gevraagd zal worden is meer op zijn plaats. (geen vreemde dingen openen dus)
    Ik zou zeker de correcties van Buzz_D in het artikel verwerken.

    Je ziet al aan de reacties dat dat nodig is.
    Het is verstandiger om te waarschuwen dan te beweren dat het volledig ongevaarlijk is voor maccers met een beetje verstand

  • Profielfoto
    Daan.

    Ik ben enige gebruiker op mijn mac, en bij alles wat ik installeer moet ik mijn wachtwoord opgeven, zelfs bij updates van apple zelf.
    En ik heb (niet bewust in ieder geval) iets verandert aan mijn rechten.

  • Profielfoto
    sally

    En ook bij Daan. vraagt dit ding dus NIET om een wachtwoord.
    Duidelijk?

  • Profielfoto
    mbrant

    Volgens mij loopt iChat via de AIM poorten!

    Ik heb een family .mac en gebruik een beveiligde ichat en dat gaat prima!
    Je moet ook niet te maken willen hebben met PC. Hoewel je er soms niet buiten kunt omdat de pc wereld ons Maccers graag buitensluit!
    :p

  • Profielfoto
    JanWillem

    Wat ik na dit bericht zou willen is mijn account, die nu inderdaad admin rechten heeft, omzetten naar een normale gebruikersaccount en de admin account die ik nu heb een andere naam geven. Is dit (op een makkelijke manier) mogelijk??

  • Profielfoto
    JeePee

    Dat kan JanWillem, er moet dan echter wel een account aangemaakt worden die wèl admin-rechten heeft. Daarna kun je die rechten vanuit die andere account uitzetten. Probeer het maar eens.

  • Profielfoto
    JeePee

    Ik weet niet of iemand het al gemeld had, maar er zijn 2 versies. De ene is volgens Intego een trojaans paard en de andere is een vorm van virus/worm/trojan. Om het maar makkelijk te maken.:p

  • Profielfoto
    seph

    Wanneer je je mac installeert 1 beheer account dat je niet voor je normale werk gebruikt. Mijn voorkeur was root :( maar dat mag nut heb dus nu iets anders gekozen :( :(
    Voordeel perongeluk direct installeren is niet mogelijk. Mail die vraag om beheer password gaat dus regelrecht richting /dev/null

  • Profielfoto
    GeryKa

    Anti-virus makers waaronder Sophos staan te springen om zulk nieuws als eerste naar buiten te brengen. Als ze dat op het juiste moment doen brengt dat veel gratis aandacht hiervoor.
    Er was echter niemand die ooit gezegd heeft dat er geen virussen mogelijk zijn op een Mac. Toch wil men zoiets graag wat opblazen;)
    Toch vrees ik nog niets hiervoor… tenzij het zich ook via alle Windows-pc’s zou kunnen verspreiden. Voordat het zich nu een beetje zou kunnen verspreiden…
    Hoeveel % gebruikt tegenwoordig eigenlijk een Mac? ???

  • Profielfoto
    reposte

    HAHAHA

    Het eerste virus voor de Mac blijkt een dom scriptje te zijn!:p

    Briljant!

  • Profielfoto
    TLM

    @reposte

    Ik zou je wel eens zo’n dom scriptje
    zien schrijven … ‘k durf er serieus
    véél geld op inzetten dat het je niet
    lukt.

  • Profielfoto
    Bram

    Ik smeek je, haal die bron Sophos weg! Wat een vreselijk bedrijf dat alleen FUD (Fear Uncertainty and Doubt) verspreid om hun eigen producten te verkopen.

  • Profielfoto
    Djmichel

    Mee eens…vooral als je het Nu.nl artikel leest…

    citaat artikel nu.nl: “Hij raadt Mac-gebruikers aan om een recente versie van anti-virus software te installeren.”

    Wat een onzin… er wandeld een scriptje rond en iedereen in paniek. Dat alleen al omdat Sophos het hardst loopt te schreeuwen.

    Ik heb wel eens horen zeggen dat je als pc gebruiker een 1000 keer per dag aangevallen word door virussen (pin me er niet op vast;) ) Mensen die maandelijks hun pc overnieuw moeten formateren door alle rotzooi en virussen.

    Dit is gewoon allemaal onzin, ook al zet het ons wel aan het denken dat we misschien als apple gebruikers kwetsbaarder zijn dan we denken. Ik heb ook altijd alle pc gebruikers uitgelachen met al hun anti virus software en rompslomp.

    Gr
    Michel

  • Profielfoto
    TandMac

    Eerlijk is eerlijk,
    Waakzaam blijven is toch de boodschap.
    Laten wij (Mac gebruikers) vooral niet overmoedig worden want
    vroeg of laat komt er toch een virus…

    En dan zal het hek vlug van de dam zijn..
    Want zeg nu zelf, als je als programmeur hoort dat het eimand gelukt is, dan moet je dat toch wel zelf eens onderzoeken…
    Niet soms..??

    ???

  • Profielfoto
    Double_UK

    Dus…
    • Ik heb (als enige accounthouder op mijn computer) een extra account aangemaakt.
    • Die heb ik vervolgens administrator-bevoegdheden gegeven.
    • En vervolgens mijn eigen account verandert in een ‘gewone’ gebruiker.

    Dit moet dus voldoende zijn. Als iets zich wil installeren gaat het eerst vragen om een password.
    En als ik dan toestemming geef is het m’n eigen schuld als het een trojan of virus blijkt te zijn.
    Heb ik het zo goed begrepen? :D

  • Profielfoto
    benj1989

    yeb, wel opassen dat de documenten/apps in jouw thuismap nog zonder wachtwoord kunnen verandert worden…; dus nogmaals: het is niet omdat we een mac hebben dat we zomaar alles lukraak mogen opendoen…

  • Profielfoto
    Pjotr

    @ Double-UK

    Het zal in ieder geval malware (applicaties) tegenhouden die administrator bevoegdheden nodig hebben (om applicaties te wissen ed). Malware dat je documenten map wil gaan wissen heeft echter geen password nodig. Van documenten dus altijd een back-up maken.

    Een script maken dat je documenten map wil gaan wissen is echter toch niet zo ingewikkeld. Het script tot applicatie omzetten doet het programma scriptmaker dat Apple meelevert ook. Het vervolgens een naam geven als foto.jpg.app kan 80% van de Mac-users. Dat app onzichtbaar wordt is ook al niet verbazingwekkend. Dergelijke malware dus NIET ingewikkeld.

    ERGO:
    Inderdaad niet als beheerder inloggen
    Geen applicaties die je niet kent gebruiken in onbeschermde omgeving.
    Belangrijke info niet in standaard mappen. (maak een map met een onzin naam aan in je eigen account, of in shared mappen)

    EDIT:
    Ik zie dat BENJ dit eigenlijk ook postte.

  • Profielfoto
    MedahOSX

    Schijnbaar niet de enige.

    http://blog.washingtonpost.com/securityfix/2006/02/new_mac_worm_spreads_via_bluet.html

    Quote:
    A new worm designed to attack the Mac OS X operating system has been submitted to an anti-virus company, this one crafted to spread via a vulnerability that Apple recently patched in its version of Bluetooth

  • Profielfoto
    Night

    Ik vraag me af wat er bedoeld wordt met: ” maakt programma’s ONKLAAR…
    HOE onklaar?

  • Profielfoto
    bruin

    Wat een gedoe om niks ??? dit is nou net wat die bedrijven willen.
    Misschien hebben ze t scriptje zelf gemaakt

  • Profielfoto
    Martijn

    ……Het verspreidt zich echter wel door middel van een stukje van zijn code, en daarom mag het officieel een virus heten……..
    Dus wel degelijk een virus toch ?

  • Profielfoto
    sally

    Het is erg onverstandig dat een artikel dat een heel wezenlijke fout bevat en begint met een onjuiste constatering gewoon ongewijzigd op de voorpagina blijft staan.

    Edit: ondertussen een stuk beter.
    Gewoon maar zorgvuldig waarschuwen voor deze vervelende dingen. Dat is het beste.

  • Profielfoto
    tennapel
  • Profielfoto
    Martijn

    Conclusion

    Leap-A is certainly a tricky piece of code. Due to a combination of bugs in its code and decisions made by the author, however, it’s not nearly as malicious as it could have been. It really does seem like a “proof of concept,” designed to show that such things are possible, without doing a great amount of damage. It should, however, serve as a good wake-up call for all of us to closely examine those things we download prior to making the double-click decision.

  • Profielfoto
    ossccar

    Tweede Mac OS X-worm in omloop

    Maandag 20 februari 2006, 16:25 – Beveiligingsexperts hebben opnieuw een worm ontdekt die misbruik maakt van een kwetsbaarheid in Mac OS X. Een patch is al enige tijd beschikbaar.

    http://www.webwereld.nl

  • Profielfoto
    kobekes

    Leap-A was maar een voorbode!!

    Dit MOET je lezen: (artikel op virus-informatie-site)
    http://secunia.com/mac_os_x_command_execution_vulnerability_test/

    bij Voorkeuren van Safari de optie –Open “veilige” bestanden na downloaden- dus zeker uitvinken!

  • Profielfoto
    dj bazzie wazzie

    Nou ze zeggen administrator heeft geen melding maar alleen een root gebruiker heeft geen melding. Ik ben administrator op mijn computer (standaard na installatie) als je dingen wil gaan wijzigen in je programma, library of systeem map moet je echt wel een wachtwoord invoeren. Alleen als je in je netinfo manager root gebuiker inschakeld en je logt dan in als root dan hoef je het alleen niet te doen. En welke gebuiker werkt er nou als root.

    BTW. Het mooie is dat het misschien je programma’s uit mag schakelen maar mocht je die root gebruiker nou wel hebben ingeschakeld maar niet mee werken dan kun je in je single user mode altijd alles weer terug zetten. en waarschijnlijk ook als je inlogt als root. Omdat het scriptje voor je mac os x (window server) is en niet voor BSD waar je mac op draait en dat is wel een lekker idee dat daar geen virus voor is.