image

"iWorm maakt 18.000 Macs onderdeel van botnet"

donderdag 2 oktober 2014, 10:51 door Redactie, 8 reacties

Een nieuw malware-exemplaar voor de Mac genaamd iWorm heeft ruim 18.000 Mac-computers besmet en onderdeel van een botnet gemaakt, waaronder honderden Nederlandse Macs, zo beweert een Russisch anti-virusbedrijf. Hoe de malware zich precies verspreidt is echter nog onduidelijk.

Eenmaal actief opent iWorm een backdoor en verzamelt informatie over geïnstalleerde programma's op de computer. Daarnaast wordt er een request naar Reddit.com gestuurd. Een reactie op de populaire sociale nieuwssite bevat een lijst met botnet-servers en poorten. De malware kan deze informatie gebruiken om verbinding met de Command & Control-servers van het botnet te maken.

De C&C-server kan vervolgens opdrachten aan besmette computers geven. Bij een analyse van het botnet ontdekte anti-virusbedrijf Dr. Web 18.519 unieke IP-adressen die met de servers verbinding maakten. Waar het de malware precies om te doen is wordt in de analyse van de virusbestrijder niet duidelijk gemaakt. De meeste infecties bevinden zich in de VS, hoewel er ook 544 Nederlandse Macs onderdeel van het botnet zouden zijn.

Image

Reacties (8)
02-10-2014, 13:15 door Anoniem
Wacht even: de naam iWorm impliceert dat we hier te maken met een self replicating ding. Alleen wordt het me uit het artikel niet duidelijk hoe zo'n ding in de eerste plaats op een OSX machine terecht komt. Ook vaag dat nergens MD5's van het ding zelf staan.

Met andere woorden: wat is er waar aan dit verhaal, en wat is marketing.
02-10-2014, 15:58 door Anoniem
Wat opmerkingen

1) Java again?
Nothing new, what else did you expect? ;-)
Naamgeving deelbestanden doet Java-malware vermoeden : JavaW, com.JavaW

Als het er is, te vinden in de directories
/Library/Application Support/
(/Library/Application Support/JavaW)
/Library/LaunchDaemons/
(Library/LaunchDaemons/com.JavaW)

Bestanden verwijderen en java eraf als je het niet nodig hebt.


2) Lua en Python functionaliteit gebruikt?

Basic backdoor commands for Lua-scripts can be used to perform the following actions:
Voorzover ik heb kunnen nagaan is Lua niet standaard voorgeïnstalleerd onder Mac Os X.
/usr/local/bin/lua
of
/usr/local/bin/
[/i](en geen Lua te vinden)

http://www.lua.org/faq.html#1.1
http://rudamoura.com/luaonmacosx.html

Lua krijg je niet zomaar geïnstalleerd op Mac's vanaf OS X 10.7 vanwege de Gatekeeper functionaliteit.
https://support.apple.com/kb/ht5290

Er zijn wel diverse lua bestandsnamen te vinden op een Mac, die staan diep in de aanwezige python framework directories. In hoeverre Lua scripts en functionaliteit kan draaien via Python? Geen idee.


3) Welke Mac's zouden besmet zijn / komen hiervoor in aanmerking?

Wat feiten bijelkaar
- Vanaf OS X 10.7 staat Java niet meer voorgeïnstalleerd op Mac's, gebruikers kunnen het zelf wel installeren en zullen dan over het algemeen minimaal de Oracle Java Versie 7 hebben geïnstalleerd dat nog 'support' van Oracle heeft.

- Mac's hebben vanaf OS X 10.7 Gatekeeper functionaliteit wat 'zomaar' iets installeren niet mogelijk maakt zonder dat je daar als gebruiker aan meewerkt of actief de standaard security voorkeuren hebt verlaagd.

- Lua staat niet voorgeïnstalleerd op Mac's vanaf 10.7. Hoe krijg je dan ongezien en eenvoudig Lua als extra op die Mac geïnstalleerd?
Zelfs als een gebruiker standaard onder het admin account werkt zal het te maken krijgen met Gatekeeper meldingen (tenzij zelf standaard verlaagd).

Mogelijk 'Slachtoffer profiel'

- Een gebruiker met OS X 10.6 Snow Leopard of zelfs nog ouder als OS X 10.5 Leopard of 10.4 Tiger, en dus zonder gatekeeper functionaliteit!
- Standaard werkend onder het admin account
- Bij voorkeur geen password gebruikend
- Mogelijk op de hele mac geen enkele aandacht besteed aan welke systeem of programma voorkeuren dan ook, om te beginnen met Safari, Firewall en sharing voorkeuren (komt voor van OS X 10.0 tot 10.9).
- Met Java 6 en of nog ouder voorgeïnstalleerd en geactiveerd, dat natuurlijk geen updates meer krijgt en dus een groot security risico is!
- Browsend met Safari, dat geen updates meer krijgt en dus een security risico is! Automatic open auto-downloads geactiveerd, plugins en scripts geactiveerd.
- Gebruiker houdt niet van updaten, denkt dat zij up to date is door de Apple melding ;
Your software is up to date

Software Update doesn't have any new software for your computer at this time.
No it's not up to date, and never will be if there never will be any updates available again!

- Gebruiker houdt eventueel wel van meldingen wegklikken of op oké (weg)klikken.


4) wat verder opvalt is de naamgeving iWorm.

Die is al eens gebruikt.
Is dat een dubbeling of een bewuste verwijzing naar deze?

I-Worm.Nimda

WW32/Nimda@mm
PE_NIMDA.A
W32/Nimda-A
Win32.Nimda.A,
W32.Nimda.A@mm

http://www.securemac.com/macosxnimdasamba.php

Het zou iets kunnen verklaren over de besmettingsroute.

Nimda is a Windows worm/virus. However, if your Macintosh is connected to the internet or network with File Sharing methods enabled you may find reminisces of Nimda left behind.
Jared noted that he had Samba services enabled on Mac OS X server with guest access turned on, he kept on finding .eml files in various places within his hard drive. After he deleted the files they would re-appear again. This problem exists in all operating systems which have samba services for them on standard ports.
Simple Fix: Disable guest access or file sharing. If for some reason guest must be turned on use a firewall only to allow computers within the network to access file sharing services.
http://www.securemac.com/macosxnimdasamba.php

Het is niet ongebruikelijk naar oude virussen te kijken en deze in en variant opnieuw leven in te blazen, kijk maar naar de opleving van Macro virussen.
Wat ook meer gebruikelijk wordt is Windows virussen en malware om te zetten naar werkbare virussen/malware voor de Mac.
Laat daar nou net Java een heel 'handig' transport middel voor zijn. En 'bedankt'!


5) I won't say this only once : get rid of Java if you don't need it! Even if you think you do.

Doe jezelf het allergrootste eenvoudigste security plezier en installeer Java niet, disable het, breek het of beter; haal het eraf als het erop staat en je het eigenlijk niet nodig hebt.
Heb je het wel nodig?
Kijk naar het belang van het programma(atje) en kijk of er daarvoor alternatieven zijn.
Zijn die er niet overweeg dan heel sterk of een een of ander provider dongeltje dat je toch bijna nooit gebruikt of een ander lullig java app-je het waard is je systeem zo in de gevaren zone te plaatsen. Als het er niet op staat heb je er ook geen omkijken naar.
Simpeler en doeltreffender kan gewoon niet.


6) Het ziet er enerzijds gecompliceerd uit, anderzijds ook weer niet.

- De malware lijkt eenvoudig te detecteren en verwijderbaar.
Zoek de bestands directories eens op en kijk of die bestanden er staan.

- Java gedeactiveerd houden en de Java voorkeuren per account doornemen!
Java verwijderen beter als je het niet gebruikt.
Java installatie vermijden ook al krijg je een pop up dit wel te doen. Zoek eerst uit waarom dat programma dat dan wil.
- Gatekeeper op het hoogste niveau zetten
- Standaard werken onder een standaard account en niet onder een admin account
- Niet browsen met Safari als het niet meer supported wordt
- Belangrijke systeem voorkeuren doornemen : Security, Firewall, Sharing voorkeuren (zo min mogelijk sharen!), Software Update ( Flashplayer )
- Safari voorkeuren doornemen! Java plugin uit! In ieder geval je plugins updaten, flash, silverlight, java, adobe reader, office plugins (???)

- Heel algemeen, alle niet-Apple programma's zelf doorlopen openen en vanuit daar handmatig updaten !!!
Vaak best een klus maar een belangrijke klus.

Stay Safe en Happy with your Mac
02-10-2014, 16:13 door [Account Verwijderd]
[Verwijderd]
02-10-2014, 16:53 door Anoniem
Dank voor de uitgebreide aanwijzigingen
02-10-2014, 17:08 door Briolet - Bijgewerkt: 02-10-2014, 17:14
- Een gebruiker met OS X 10.6 Snow Leopard of zelfs nog ouder als OS X 10.5 Leopard of 10.4 Tiger, en dus zonder gatekeeper functionaliteit!

Maar ook deze bij deze OS-en moet je een eerste keer runnen bevestigen met een Okay. Wat een heleboel mensen misschien toch doen.

- Met Java 6 en of nog ouder voorgeïnstalleerd en geactiveerd, dat natuurlijk geen updates meer krijgt en dus een groot security risico is!

En toch is OSX 10.6 goed tegen Java misbruik beschermd. Oracle heeft in Java 6 een beveiliging ingebouwd en Apple in Safari 5. Als je dus een Java Applet voor het eerst runt, moet je eerst aan Java bevestigen dat dit specifieke applet van dat domein uitgevoerd mag worden. Vervolgens komt Safari met een gelijksoortige vraag. Dus je moet èn Java èn Safari niet geüpdatet hebben. Dus de update functie uit hebben staan.*

Ik ben benieuwd wat Apple met deze malware gaat doen. Als zij het als een bedreiging zien, zal het vast in de XProtect.plist terecht komen en op die manier buiten de deur gehouden worden.

Ik heb net op mijn iMac met OSX 10.6 gekeken. De modificatiedatum van de XProtect file is 25 sept 2014. Dus die wordt ook voor dat systeem nog gepushed met nieuwe blokkades. o.a. staat nu de minimum Flashplayer op de laatste versie 15.0.0.152. Het is niet helemaal waar dat naar dat OS geen enkele beveiligingsupdate naar toe gaat. En die XProtect.plist wordt ook geüpdatet als je de gewone update functie uit hebt staan.

*Edit: Als je Java nooit geüpdatet hebt, zorgt het XProtect systeem ervoor dat Java niet uitgevoerd wordt omdat die alles ouder dan Java 1.6.0_45 blokkeert.
02-10-2014, 17:12 door Anoniem
Door Anoniem: Wat opmerkingen

1) Java again?
Nothing new, what else did you expect? ;-)
Naamgeving deelbestanden doet Java-malware vermoeden : JavaW, com.JavaW

...Héél verhaal over Java...

Stay Safe en Happy with your Mac
Die malware maakt zelf die directories aan, Java heeft er (vooralsnog) niets mee te maken.

Verder is DrWeb blijkbaar nog niet zover dat ze de dropper al hebben (geen hash), wat zou betekenen dat het niet over een email-bijlage gaat oid... Wat wel?

Sorry dames en heren fans, nog even geen conclusies trekken...
02-10-2014, 20:00 door Anoniem
Door 17:12 Anoniem:
Door Anoniem: Wat opmerkingen

1) Java again?
Nothing new, what else did you expect? ;-)
Naamgeving deelbestanden doet Java-malware vermoeden : JavaW, com.JavaW

...Héél verhaal over Java...

Stay Safe en Happy with your Mac

Die malware maakt zelf die directories aan, Java heeft er (vooralsnog) niets mee te maken.


Kom nou toch,
lees je zelfs niet wat je van een ander 'quotet'?

Hebben we er ineens zomaar een tweede Java adept bij?
Vast niet, gezien de geheelontkennershouding, daarnaast nog trollen met 'fans' bewoordingen helpt niemand verder.
Twee zaken die geen enkele constructieve discussie kan gebruiken.

Mijn eerdere reactie was tenminste een poging één en ander te analyseren bij beweerde 18.000 besmettingen.
Van mij mag je het niet geloven of geheel ontkennen hoor. Hou het dan bij : nietes!
Wel zo kort en efficiënt. Of het je enige security biedt is de vraag.

Java, Java, Nee-Va
Het vorige grote Java security debacle betrof ruim 600.000 besmettingen op Mac's.
Alle reden om een heel verhaal aan Java te besteden en dat te blijven doen.

Slechts afdingen op details in die analyse poging is wat makkelijk en heeft geen toegevoegde waarde.
Dat geldt ook voor de opmerking aangaande de XProtectlijst die nog bij wijze van minimale uitzondering wordt geüpdatet (iTunes kan je ook nog updaten! En inderdaad ook belangrijk, goed dat ik het zelf zeg, vergeten te vermelden ;-) .
Het zeer minimale kleine update lijstje van XProtect staat werkelijk in geen enkele verhouding tot de bij tijd en wijle grote security-updates (!) en browser updates die een OS X (10.6, 10.5 , 10.4) moet missen als het niet meer supported wordt.

! XProtect 'mag geen' reden zijn geen av scanner op je Mac te gebruiken. XProtect is géén vervanging voor een av product daarvoor zijn er veel te weinig malware definities in opgenomen.
Dat je het weet. Kijk maar op de vergelijkende lijst die Securityspread.com regelmatig uitbrengt.
http://securityspread.com/detection-rate-results/

Dat betekent overigens niet dat genoemde oudere OS X versies niet vergaand veilig zijn te krijgen.
Daar moet je echter wel flinker de security handen voor uit de mouwen steken.
Geen werk dat een gemiddelde gebruiker uit zichzelf doet. Onder begeleiding wel.

Werken aan OS X security bij een ouder OS X begint met erkennen dat de boel niet meer 'vanzelf' veilig is, met het ontkennen van dat idee werk je actief mee aan de een verhoogd malware infectie risico bij je zelf of bij een ander.

Het is maar waar je je loyaliteit neerlegt.
Alleen het nieuwste OS X op je nieuwste dure Mac? Java?, praktische security voor een bredere Mac gebruikersgroep?

Ik ga voor de mogelijk meer kwetsbare groep, loyaliteit en uitdaging, de groep die ook nog met veel plezier werkt op oudere Mac's en geen Mavericks kan draaien. Genoeg gebruikers die met een Mac van Ma of Pa beginnen of een tweedehands Mac, die nieuwe Mac komt later wel een keertje.

Stay secure in de 'tussentime'.
;-)
02-10-2014, 21:15 door Anoniem
Door Anoniem:...Hebben we er ineens zomaar een tweede Java adept bij?
Vast niet, gezien de geheelontkennershouding, daarnaast nog trollen met 'fans' bewoordingen helpt niemand verder.
Twee zaken die geen enkele constructieve discussie kan gebruiken.

Mijn eerdere reactie was tenminste een poging één en ander te analyseren bij beweerde 18.000 besmettingen.
Van mij mag je het niet geloven of geheel ontkennen hoor. Hou het dan bij : nietes!
Wel zo kort en efficiënt. Of het je enige security biedt is de vraag.

Java, Java, Nee-Va
Het vorige grote Java security debacle betrof ruim 600.000 besmettingen op Mac's.
Alle reden om een heel verhaal aan Java te besteden en dat te blijven doen.
...
Stay secure in de 'tussentime'.
;-)
Google tl;dr even.
Ik ben alles behalve fan van Java, en als je "fans" al opvat als trollen... Tsja.., typisch.

Inhoudelijk:
Jij analyseert helemaal niets.
Misschien beschouw je je bijdrage als behulpzaam, effectief is het allerminst.
Ik ben erg benieuwd hoe de dropper z'n werk doet en hoe deze verspreid wordt. 0-day, social engeneering, hack, bijlage, update, of nog wat anders.
Er is NIETS dat wijst op een Java-exploit.

Het feit dat DrWeb z'n mond houdt kan maar 2 dingen betekenen, dat de dropper nog niet is aangetroffen / geanalyseerd, of dat deze gebruikt maakt van een 0-day waarvoor eerst een patch moet worden gemaakt.

Dus ff geduld nog...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.