Nieuws
image

Symantec waarschuwt voor Mac OS X Macarena virus

vrijdag 3 november 2006, 10:47 door Redactie, 8 reacties

Symantec heeft een nieuw proof of concept virus ontdekt dat Mac OS X Mach-O bestanden kan infecteren. De virusschrijver van Macarena, zoals de malware wordt genoemd, heeft een onverwachte plek in het geheugen gevonden voor het plaatsen van de code, en een manier om direct controle te krijgen als een geinfecteerd bestand wordt uitgevoerd. Het virus heeft geen payload, maar infecteert alle bestanden in de huidige directory, ongeacht bestandsnaam of extensie.

Omdat Macarena zich beperkt tot de huidige directory, kan het zich niet over het hele systeem verspreiden. Op Windows systemen komt het namelijk voor dat mappen zoals "Windows" en "Windowssystem32" allerlei uitvoerbare bestanden bevatten, maar op OS X systemen worden bestanden anders opgeslagen, zegt Symantec's Peter Ferrie.

Reacties (8)
03-11-2006, 11:27 door Anoniem
Wat doet dat foute plaatje bij deze text?
03-11-2006, 11:37 door Anoniem
Malware voor OS X bestaat toch niet?

http://ryanlrussell.blogspot.com/2006/10/os-x-malware.html
03-11-2006, 11:47 door Anoniem
Door Anoniem
Wat doet dat foute plaatje bij deze text?


De virus schrijver die de Macarena danst?
03-11-2006, 12:44 door nixfreak
De virus schrijver die de Macarena danst

Ohh.... wees maar gerust dan, want dan zal e.e.a. NIET werken.
03-11-2006, 12:51 door Anoniem
Bij de technische details vind ik geen echte technische
details maargoed. Het virus pakt alleen die bestanden aan
waarvoor de gebruiker rechten heeft. Maar hoe het uitgevoerd
wordt? Meestal zijn onder *nix bestanden niet uitvoerbaar.
Ik vermoed dat het virus wel enige hulp nodig heeft, zoals
andere OS/X-malware een tijdje geleden. Het lijkt mij dus
dat Symantec nieuwe afzetmarkten probeert aan te boren.
03-11-2006, 15:21 door Anoniem
Door nixfreak
De virus schrijver die de Macarena danst

Ohh.... wees maar gerust dan, want dan zal e.e.a. NIET werken.

Niet echt: elke maand nieuwe patch kansen!
03-11-2006, 16:16 door SirDice
Door Anoniem
Bij de technische details vind ik geen echte technische details maargoed. Het virus pakt alleen die bestanden aan waarvoor de gebruiker rechten heeft. Maar hoe het uitgevoerd wordt?
Door de gebruiker die het start? Zie ter vergelijking de windows wormen MyDoom en Bagle...

Meestal zijn onder *nix bestanden niet uitvoerbaar.
Que? /bin /sbin /usr/bin /usr/sbin staan vol uitvoerbare bestanden... Sterker nog.. Op de meeste *nix systemen kun je als gebruiker zijnde gewoon bestanden uitvoeren die in je homedir staan (~/bin is vrij gebruikelijk).. Scripts? binaries? Grote probleem is dat je aan de bestandsnaam niet kan zien of iets uitvoerbaar is of niet.. Maak voor de gein maar eens een test.pdf en in de eerste regel #!/bin/sh, chmod +x en klaar. Is het nu een PDF of een uitvoerbaar bestand?
Al kun je wel /home mounten met noexec, zeer aan te raden..

Ik vermoed dat het virus wel enige hulp nodig heeft,
9 van de 10 windows virussen tegenwoordig "verleiden" de gebruiker tot het starten en misbruiken geen bugs.. Gezien de grote hoeveelheid infecties is dat behoorlijk effectief..
03-11-2006, 18:29 door Anoniem
Maak voor de gein maar eens een test.pdf en in de
eerste regel #!/bin/sh, chmod +x en klaar. Is het nu een PDF
of een uitvoerbaar bestand?
Inderdaad zijn binaries enz. wèl uitvoerbaar, anders zou je
er ook niet zo veel aan hebben. Da's op *nix niet anders dan
Windows.
Maar het 'chmod +x' moet je onder *nix vaak zelf doen voor
niet-binaries (en zelfs vaak wel die je gedownload hebt).
Windows doet dat standaard voor je; onder Windows is vrijwel
alles standaard uitvoerbaar en is het, hoewel zeker niet
onmogelijk, lastiger om dat execute-bitje altijd weg te
halen. Dat kost simpelweg meer tijd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure