image

Nieuw Trojaans paard voor Mac OS X ontdekt

woensdag 25 juli 2012, 10:47 door Redactie, 3 reacties

Er is een nieuw Trojaans paard voor Mac OS X ontdekt, hoewel de malware nog niet in het wild gesignaleerd is. De Crisis Trojan is een 'dropper' die een backdoor opent. De malware wordt stil geïnstalleerd, zonder dat een wachtwoord vereist is. Crisis werkt alleen op Mac OS X Snow Leopard en Lion. Afhankelijk of het gebruikersaccount adminrechten heeft, installeert het verschillende onderdelen.

Hoe de malware op een systeem wordt geïnstalleerd is nog onduidelijk. Als de dropper op een systeem draait met adminrechten, installeert het een rootkit om zich te verbergen. Eenmaal actief maakt de malware elke vijf minuten verbinding met IP-adres 176.58.100.37, wachtend op instructies.

Crisis werd op VirusTotal aangetroffen, een website waar verdachte bestanden naar worden geüpload en anti-virusbedrijven malware delen. Volgens beveiligingsbedrijf Intego is het Trojaanse paard nog niet in het wil aangetroffen.

Reacties (3)
25-07-2012, 11:19 door Anoniem
Toeval dat het op de releasedag van mountainlion bekend wordt, en guess what! Daar doet hij het niet op...
Dus of iedereen vanavond nog wil upgraden! ;)

Marketing technisch komt dit Apple natuurlijk prima uit...
25-07-2012, 13:53 door Anoniem
Goede kans dat dit ook onder Lion kan werken, ligt eraan welke van de 3 veiligheidsopties je kiest voor installatie toestemming programma's en veel snow leopard gebruikers kunnen nou juist niet upgraden.

Een mogelijke oplossing en in variaties toepasbaar op andere malware problemen (voor eigen risico).

1- installeren van uitgaande firewall om te voorkomen dat elke applicatie direct en zonder vragen toegang heeft tot het internet.

2- easy en noodzakelijk : een reguliere user account aanmaken zonder admin rechten (of zelfs 2; één werkaccount en één internet account).

Want deze malware maakt twee nieuwe directories aan, één in de a overkoepelende library , die beheerd kan worden met admin rechten : volgens Intego ; "Only with Admin permissions, this folder is created: /System/Library/Frameworks/Foundation.framework/XPCServices/ " en één in de locale library van de user account (en laten we hopen dat je dus niet standaard werkt onder je admin account, wat helaas wel nog heel veel voorkomt) : volgens Intego ; "With or without Admin permissions, this folder is created: /Library/ScriptingAdditions/appleHID/" .

3- als je nu (inmiddels wel) werkt onder een standaard account kan de malware in ieder geval niet zonder toestemming te vragen in de frameworks directory rommelen.

4- mocht in je gewone user account de "ScriptingAdditions" folder nog niet voorkomen, maak hem dan zelf aan met bijbehorende subfolder.

5- wijzig de toegangsrechten nu van (!) alleen deze folder, de reguliere account is namelijk nu nog eigenaar en mag lezen en schrijven zonder om een wachtwoord te vragen.
Wijzig de rechten onder info van de folder (cmd toets + i) : de user mag allereerst niet meer lezen en schrijven maar alleen lezen, everyone no acces, of maak desnoods een extra toegangsrecht aan voor de administrator, maak hem ook eigenaar en verwijder het user recht helemaal alsook de anderen en everyone ook op no acces. Deur op slot!

Mocht de "XPCServices" folder ook nog niet in je frameworks directory staan kan je overwegen die aan te maken en alle toegangsrechten van (!) alleen deze folder te blokkeren of te zetten op alleen lezen. Dan wordt ook weer een password gevraagd voor het wijzigen ervan, zelfs als je ingelogd bent in je admin account.

6- resultaat is dan dat de folders nu al bestaan maar voor het wijzigen ervan alvast de toegangsrechten zijn aangepast en van de betreffende folders in ieder geval nu wel om toestemming wordt gevraagd (admin password).

! Waarschuwing : het veranderen van toegangsrechten kan je systeem behoorlijk overhoop halen als je het niet goed doet. Pas wijzigingen dus niet zonder meer toe op ingesloten onderdelen maar alleen eens op een enkel bestand of een kleine folder (dus niet je hele library!). Dat is namelijk makkelijk terug te draaien (tenzij je gewoon ook al een backup van betreffende folder had; aan te raden).

7- extra tips :
a- malware schrijvers hebben voorkeur voor bepaalde folders, "Shared", "Launchdaemons" , "LaunchAgents", etc. Voor het monitoren van eventuele wijzigingen kan je een (lege) zoekopdracht binnen betreffende folder aanmaken incl. verborgen files en dit search resultaat bewaren in je linker search kolom. Kan je af en toe eens kijken of er wat nieuws of vreemds is bijgekomen (sorteren op datum).
b- geef een browser in je applications folder een andere plek (extra folder) of andere naam (niet doen met safari of maak een extra kopie); misschien loopt een virus erop stuk omdat hij het pad of de bestandsnaam niet herkent.
c- toch maar een virusscanner installeren (let op; sommige (gratis) scanners vertragen enorm, dat merk je bijvoorbeeld bij opstarten programma's en het uitvoeren van zoekopdrachten, bijzonder frustrerend).
25-07-2012, 16:00 door Anoniem
@ 11:19 Nogal kansloze reactie, de firma Intego is namelijk een Mac beveiliger van het eerste uur, ook oudere versies worden en blijven ondersteunt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.