image

Mac-malware vermomt zich als PDF-bestand

vrijdag 23 september 2011, 12:43 door Redactie, 7 reacties

Onderzoekers hebben een nieuw Trojaans paard voor Mac OS X ontdekt dat zich als een PDF-bestand vermomt. Bij het openen van de malware wordt de inhoud van een PDF-bestand getoond, zodat de gebruiker niets vermoedt. Ondertussen installeert de Revir Trojan een backdoor, die in verbinding met een Command & Control server staat. De server zou volgens het Finse anti-virusbedrijf op dit moment niet operationeel zijn. Het gebruikte Russische domein werd op 21 maart van dit jaar geregistreerd en op 21 mei aangepast.

F-Secure weet nog niet hoe de malware zich verspreidt, maar zeer waarschijnlijk doet het dit als e-mailbijlage. Daarbij zou de malware mogelijk een soortgelijke techniek als Windows malware gebruiken. Veel Windows malware doet zich voor als pdf.exe. Aangezien Windows standaard de bestandsextensie niet toont en aanvallers een willekeurig icoon aan het bestand kunnen koppelen, denkt de ontvanger dat het om een PDF-bestand gaat.

Test
In dit geval ontbraken het icoon en de extensie. De virusbestrijder houdt dan ook de mogelijkheid open dat de malware nog lastiger op te merken is dan op een Windows computer, aangezien het elke willekeurige extensie kan gebruiken. De malware werd gevonden via VirusTotal. F-Secure houdt er dan ook rekening mee dat het mogelijk om een proef van de virusschrijver gaat, om te zien hoeveel anti-virusbedrijven de malware detecteren.

Reacties (7)
23-09-2011, 13:15 door Anoniem
Als je in Apple's mailprogramma een executable probeert te openen krijg je een dikke vette waarschuwing, ik kan me niet voorstellen dat meer dan een zeer enkele n00b die wegklikt.
23-09-2011, 18:36 door Anoniem
Door Anoniem: Als je in Apple's mailprogramma een executable probeert te openen krijg je een dikke vette waarschuwing, ik kan me niet voorstellen dat meer dan een zeer enkele n00b die wegklikt.
Tsja, bij windows krijg je een dergelijke melding ook als de executable niet van het systeem afkomstig is. En toch trapt ook daar een groot deel gebruikers in.
23-09-2011, 19:29 door golem
Volgens dit verhaal gaat het om het openen van malware vermomd als PDF-bestand.
Geen enkele waarschuwing blijkbaar.

Overigens wel grappig dat een (professionele) virusschrijver zijn malware checkt via virustotal.
Het is toch wel zeer voor de hand liggend dat antivirus bedrijven de resultaten van
de geuploade files goed bekijken.
23-09-2011, 21:39 door Nietsnut
Door golem: Volgens dit verhaal gaat het om het openen van malware vermomd als PDF-bestand.
Geen enkele waarschuwing blijkbaar.

Overigens wel grappig dat een (professionele) virusschrijver zijn malware checkt via virustotal.
Het is toch wel zeer voor de hand liggend dat antivirus bedrijven de resultaten van
de geuploade files goed bekijken.

Hoeveel Mac gebruikers hebben een virusscanner denk jij ?
Nou dat zij er maar weinig lol
24-09-2011, 12:50 door golem

Hoeveel Mac gebruikers hebben een virusscanner denk jij ?
Nou dat zij er maar weinig lol

Mac gebruikers ?, Ik heb het over de virusmaker.
Als je dan toch je virus test, doe het dan niet via die online
virusscan sites. (maar gelukkig voor de Macgebruikers)
26-09-2011, 09:15 door Anoniem
Door Nietsnut:
Hoeveel Mac gebruikers hebben een virusscanner denk jij ?
Nou dat zij er maar weinig lol

Die zit dan ook standaard ingebouwd in OS X sinds Snow Leopard :).
26-09-2011, 10:59 door Anoniem
Door Anoniem: Als je in Apple's mailprogramma een executable probeert te openen krijg je een dikke vette waarschuwing, ik kan me niet voorstellen dat meer dan een zeer enkele n00b die wegklikt.

Een Mac kan niets met een EXE bestand, dat ziet Mac als een Unix file en krijgt dan een grijs koontje.
Het wordt niet uitgevoerd en het eventueel aanwezig virus kan ook niets, dat wordt pas actief als het bestand wordt uitgevoerd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.