image

Gratis rootkit-detector voor Mac OS X gelanceerd

maandag 23 september 2013, 15:16 door Redactie, 4 reacties

Het Slowaakse anti-virusbedrijf ESET heeft een gratis programma gelanceerd voor het detecteren van rootkits op Mac OS X. Een rootkit is een tool ontworpen om zichzelf en andere processen, data en/of activiteit op het systeem te verbergen en is vaak lastiger te verwijderen dan andere malware.

Via de rootkit kan een aanvaller toegang tot een geïnfecteerde computer blijven behouden. Ook voor Mac OS X bestaan er rootkits, of "kwaadaardige kernel-extensies die het gedrag van het besturingssysteem proberen te wijzigen", aldus de omschrijving van ESET.

Het afgelopen jaar zag het anti-virusbedrijf verschillende rootkits voor Mac OS X, zoals Crisis, die tegen journalisten was ingezet. Om dit soort malware te detecteren en verwijderen is er nu een gratis bètaversie van de Rootkit Detector uitgebracht. In het geval er een rootkit wordt gedetecteerd vraagt ESET aan gebruikers of ze de optie ingeschakeld laten staan die de malware voor verdere analyse naar de virusbestrijder opstuurt.

Reacties (4)
23-09-2013, 17:31 door Anoniem
Ook Gratis & bescherming tegen nog veel meer malware

(Bij herhaling)

- Niet werken onder je admin account maar met limited User rights onder een Standard account.
- Java plugin in je browser uitschakelen, nog beter Java uitschakelen onder je account (of alle accounts), nog veel beter als je Java niet gebruikt is het verwijderen (als het kan).
En als je Java wel wil gebruiken of behouden dan toch op zijn minst het up to date houden!
- Oppassen met het accepteren van (Java) Applets, want Crisis malware was onder meer gebaseerd op gebruik van een Java Applet en leunde zwaar op social enginering (verleiden om een malware-link aan te klikken).
- Je Office, Flash en Adobe Reader (wat je best kan missen op je Mac, gebruik preview / voorvertoning) up to date houden.

- Oppassen met links aanklikken en nog eens nadenken als je een mail krijgt van onbekenden met daarin een weblink om elders online een zogenaamd word document te bekijken.
Waar gebeurd (wel 1x), mmm... waarrr zijn 'we' nu helemaal mee bezig?!?.

- Extra firewall overwegen (al dan niet gratis) op basis van application whitelist, of een firewall die je eerst vraagt of je het oké vindt dat programma "X" verbinding wil maken met ip-adres "...." op één of andere exotische poort "45678" (ik noem maar wat).

Crisis malware werd overigens niet in de Root directory van de Mac geïnstalleerd maar o.a. in de System Library en de Algemene Library. Wat het er overigens niet minder rottig op maakt al is het wel makkelijker te detecteren / te vinden.
Het Crisis bootmechanisme betrof geloof ik een extra opstart scriptje geplaatst in de folder "ScriptingAdditions" maar de naam bootkit is al 'bezet' geloof ik.
Wat te denken van "ScriptingAdditionsKit", "StartupScriptKit", "LoginItemKit", "LaunchAgentKit"?
Allemaal variaties op hetzelfde thema van een extra bijgeplaatst startup-filetje al dan niet erbij gekomen in een Local User account (makkelijkst) of in een hogere Library in de Admin rang (daar heeft onder meer Java schrijfrechten, daarom ook zo populair. Of Python, nog niet zo populair gelukkig).

Meer info over Crisis, o.a. ; www.thesafemac.com/osxcrisis-malware-revealed-as-targeted-attack/
Goede kans overigens dat Apple zelf dergelijke malware snel toevoegt aan de lijst van Xprotect lijst op je Mac zelf.
( www.security.nl/posting/364179/Apple+beschermt+Mac+OS+X+tegen+nieuwe+Trojan )
24-09-2013, 12:29 door Anoniem
In het geval er een rootkit wordt gedetecteerd vraagt ESET aan gebruikers of ze de optie ingeschakeld laten staan die de malware voor verdere analyse naar de virusbestrijder opstuurt.

Omdat elders op deze site deze niet-geheel-offline-scan-service ook als tip wordt meegegeven, hierbij een aanvullende lees-tip, c.q overweging.

Lezen van het eula.rtf ( ~/ESET Rootkit Detector.app/Contents/Resources/eula.rtf )
suggereert toch wat minder vrijblijvendheid in keuze.

Dit end user licence agreement krijg je vast te zien bij installatie.
Je kan gewoon op ja klikken natuurlijk, of het eens doorlezen.
Oordeel zelf.

Hintjes

Let bijvoorbeeld op punt 4 : wat wordt er bewust of per ongeluk verzameld, vindt je de privacy garantie erbij genoeg? Je kan als softwaremaker, ook maximaal proberen te voorkomen dat je additionele data verzamelt of beloven deze direct en zonder deze te gebruiken onherstelbaar te vernietigen als dat het geval.

Punt 2 bijvoorbeeld, leest als ; verboden software te installeren die de werking van dit programma in de weg zit. Nou, dit soort programma's monitor ik zeker op internet connecties en block deze ook als ik het niet vertrouw!
En dat mag dan niet?

Punt .. ..

Root kits, virussen, malware voor de Mac.
De weinige virussen voor de Mac worden al door vrijwel alle (gratis of betaalde) virusscanners voor de Mac vrijwel allemaal wel gedetecteerd (paar uitzonderingen daargelaten).
En dan heb je ook nog Xprotect van Apple zelf.

Weeg nog eens af wiens belang groter zou kunnen zijn ; het jouwe (extra veiligheid?) of die van Eset (data)?
24-09-2013, 13:15 door Anoniem
Door Anoniem: Crisis malware werd overigens niet in de Root directory van de Mac geïnstalleerd maar o.a. in de System Library en de Algemene Library.

Misschien moet je de juiste betekenis van het woord 'rootkit' nog even opzoeken.
20-10-2014, 14:01 door Anoniem
zijn er ook nieuwe ontwikkelingen in de herfst 2104 mbt rootkits / finder voor Mac Maverick ?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.