Apple neemt maatregelen tegen OS X-malware

Door: Raymon Mens - 21 reacties

Russische beveiligingsonderzoekers ontdekten vorige week nieuwe malware die zich via illegale downloads verspreidt onder OS X-gebruikers. De malware kreeg de naam ‘iWorm‘ en kan gebruikt worden om Mac-computers als botnet over te nemen.

De eerste week┬áwerden 17.000 Mac’s besmet, waaronder 500 in Nederland. Inmiddels hoef je niet meer bang te zijn om iets van The Pirate Bay te plukken, Apple heeft het in OS X ingebouwde beveiligingsmechanisme Xprotect stilletjes┬áge├╝pdatet. Daardoor is iedere Mac nu automatisch beveiligd tegen de malware.

De kwaadaardige software┬ámaakt het mogelijk om Mac’s op afstand opdrachten te geven. Denk daarbij aan het het aanvallen van een website of het versturen van spam. Opmerkelijk is dat voor de besturing van de malware gebruik werd gemaakt van nieuwsforum Reddit. De beheerders verspreiden via dat platform een lijst met servers waarmee de malware kan verbinden.

De ingebouwde beveiliging van OS X herkent nu ook de 'iWorm'.
De ingebouwde beveiliging van OS X herkent nu ook de ‘iWorm’ [via: MacRumours]
Hoewel Xprotect de malware nu automatisch onschadelijk heeft gemaakt, kan het geen kwaad te checken of het virus nog op een Mac staat. Dit kan door in het Finder-menu bovenaan te kiezen voor Ga > Ga naar Map > en daar naar /Library/Application Support/JavaW te gaan. Wordt die map niet gevonden? Dan is je Mac clean. Wel gevonden? Verwijder de hele map en zijn inhoud.

Reacties

21 reacties
  • Profielfoto
    Franky Mac

    “Inmiddels hoef je niet meer bang te zijn om iets van The Pirate Bay te plukken, Apple heeft het in OS X ingebouwde beveiligingsmechanisme Xprotect ge├╝pdatet.”
    Dat klopt volgens mij niet, als de maker de malware veranderd dan dedecteerd Xprotect de worm niet meer. Bovendien kun je ook nog een ander type besmetting oplopen.

  • Profielfoto
    Stef Oortwijn

    Als je gewoon netjes voor je spullen betaald uit de App store dan hoef je in principe niet bang te zijn dat je geïnfecteerd raakt. Geen Third-party applicaties downloaden/installeren of met uitzondering als het een bekende ontwikkelaar is en controleer altijd de bron waarvan je download.

    Zelf heb ik nog nooit een virusscanner gebruikt omdat ik weet wat ik doe en dingen vroegtijdig herken. Zo werkt een Adblocker wel goed omdat je dan niet die advertenties ziet met je Mac opschonen enzo.

  • Profielfoto
    iDEOwen

    Het virus maakt het voor kwaadwillenden

    Zullen we daar ook malware maar van maken?

  • Profielfoto
    Booden

    Hoe kan ik zien of Xprotect is geupdated? De laatste update was voor Safari op 19 september. Ook als ik naar updates zoek wordt er aangegeven dat er geen updates zijn. Is het zo dat je kan zien of Xprotect om je Mac is geïnstalleerd?

  • Profielfoto
    mowat

    @Booden
    gewoon het bestand Xprotect.plist even openen en zien of de verwijzing zoals hierboven naar iWorm er in staat.
    /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.plist”

  • Profielfoto
    Le Big Mac

    @Booden: Xprotect wordt ‘stil’ ge├╝pdate, en verschijnt niet in/bij software updates. Om te checken of jouw Xprotect al is vernieuwd:

    in Finder->Go->Go To Folder. Copy this into the box:
    /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/

    Scroll to the bottom to a file called “xprotect.meta.plist”. The date it was last changed will be the last time it was modified.

    True. But more importantly there is another file near there called XProtect.plist

    After installing the xprotect update, open this with textedit and you will see near the top

    OSX.iWorm.A

    and a bit below that is

    OSX.iWorm.B

    and what is not mentioned in the article, go even further below and you will see that there is yet a third version of the iworm quarantined by xprotect called osx.iworm.c:

    OSX.iWorm.C

  • Profielfoto
    MacAanZee

    Ik vind het artikel veel te onduidelijk. Het veronderstelt veel voorkennis op het gebied van malware, virussen en bescherming daartegen. Maar veel mensen hier hebben die kennis niet. Hoe heeft Apple dat X Protect (nooit eerder van gehoord trouwens!) geupdatet? Niks van gehoord of gezien. Zit dat standaard in je OS X? Is deze Russische melding serieus te nemen? Er zijn zo vaak meldingen van producenten van virusscanners die wat roepen om hun eigen producten te verkopen. En hoe controleren of het in je Mac staat? Er staat kies in Finder voor Ga > enz. Maar waar staat in Finder “Ga”…? Ik zie alleen maar lijstjes met Apparaten, Gedeeld, Locaties en Zoek naar. En geen “Ga”

  • Profielfoto
    Booden

    @Le Big Mac

    Dank voor de prima uitleg. Is gisteren om 10.30 uur geupdated!!

  • Profielfoto
    peli

    @MacAanZee

    Hoe heeft Apple dat X Protect (nooit eerder van gehoord trouwens!) geupdatet?
    Dit word op de achtergrond gedaan. Dit is te checken door in finder te klikken op ‘Ga’ dan op ‘Ga naar map’ en deze regel er in te plakken, ‘/System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/’ Dan op zoek naar xprotect.meta.plist de bewerkingsdatum is de laatste update datum.

    Zit dat standaard in je OS X? Ja, dit zit standaard in OS X.

    Is deze Russische melding serieus te nemen? Het is een onderzoeksbureau geen software verkoper.

    Hoe controleren of het in je Mac staat? Er staat kies in Finder voor Ga > enz. Maar waar staat in Finder ÔÇťGaÔÇŁÔÇŽ? Misschien in de balk boven aan je scherm….

  • Profielfoto
    Raymon Mens

    Imo stond er al dat Xprotect een “in OS X ingebouwde beveiligingsmechanisme” is, dus dat lijkt me duidelijk.

    Om te benadrukken dat er geen actie voor nodig is : “stilletjes ge├╝pdatet” toegevoegd

    en

    “Finder-menu bovenaan te kiezen voor Ga”

    Hopelijk is het nu Jip en Janneke proof;-)

  • Profielfoto
    Raymon Mens

    Hoe kan ik zien of Xprotect is geupdated? De laatste update was voor Safari op 19 september. Ook als ik naar updates zoek wordt er aangegeven dat er geen updates zijn. Is het zo dat je kan zien of Xprotect om je Mac is geïnstalleerd?

    Dat gaat volledig op de achtergrond, zodra je met internet verbonden bent. Het is altijd standaard in OS X aanwezig.

  • Profielfoto
    TonE

    Bij mij niet automatisch gepatcht, heb het handmatig moeten installeren.

  • Profielfoto
    Hydr├Ž

    /Library/Application Support/JavaW

    Is dit een Java worm dan?

  • Profielfoto
    Raymon Mens

    Nee, is geen Java voor nodig. Is gewoon een slim bedachte coverup naam van het mapje.

  • Profielfoto
    Domtoren

    “Inmiddels hoef je niet meer bang te zijn om iets van The Pirate Bay te plukken,”

    Dat lijkt me een heel slecht advies. Op dit soort sites moet je altijd goed opletten wat je downloadt. Je weet nooit wie het er op gezet heeft en met welke bedoelingen.

    Een beter advies zou zijn: “haal je software uit legitieme bronnen”

  • Profielfoto
    mowat

    @Raymon
    Xprotect is standaard zo ingesteld dat het automatisch updates volgt. Maar als je dat niet wil kan je het via systeemvoorkeuren eenvoudig aan of afvinken.

  • Profielfoto
    essiw

    /Library/Application Support/JavaW

    Is dit een Java worm dan?

    Het heeft niks met Java te maken, en het is geen worm:P Dit is de naam en de map die de maker van de Malware het heeft gegeven.

    Deze vorm van malware wordt een Trojan Horse genoemd. Een Worm kan zichzelf namelijk verspreiden (een virus is een soort worm) en een Trojan Horse kan zichzelf niet verspreiden en moet echt geïnstalleerd worden.

  • Profielfoto
    computer space

    Ik schakel Xprotect altijd uit. Dat irritante kat muis spel met Oracle en Adobe was ik kotsbeu. En Piratebay heb je niet snel malware van. Onderlinge controle is heel fanatiek.

  • Profielfoto
    computer space

    Een beter advies zou zijn: “haal je software uit legitieme bronnen”

    Bij sites als MacUpdate krijg je meer troep dan op de Piratebay. Klopt niet helemaal. En op TPB wordt vaak de troep van de originele uitgever er ook uit gestript. Adobe, Google etc. maken zelf bakken malware…. De gemiddelde auto-update software en licentieverificatiesoftware kan tegenwoordig goed als malware bestempeld worden.

  • Profielfoto
    MacAanZee

    Ik heb het gevonden. Ik ben – technisch gezien – een van de domste hier…hahaha. Dus ben al heel lang blij dat Apple er is ├ęn dat dit forum er is.

  • Profielfoto
    Verwijder

    Ik blijk dus al jaren antivirussoftware te hebben en ik wist het niet.
    Ik heb wel OSX.iWorm.A en B maar niet C. Is dat erg?