Wacht even: de naam iWorm impliceert dat we hier te maken met een self replicating ding. Alleen wordt het me uit het artikel niet duidelijk hoe zo'n ding in de eerste plaats op een OSX machine terecht komt. Ook vaag dat nergens MD5's van het ding zelf staan.

Met andere woorden: wat is er waar aan dit verhaal, en wat is marketing.

Wat opmerkingen

1) Java again?
Nothing new, what else did you expect? ;-)
Naamgeving deelbestanden doet Java-malware vermoeden : JavaW, com.JavaW

Als het er is, te vinden in de directories

Bestanden verwijderen en java eraf als je het niet nodig hebt.


2) Lua en Python functionaliteit gebruikt?

Voorzover ik heb kunnen nagaan is Lua niet standaard voorgeïnstalleerd onder Mac Os X.
of
[/i](en geen Lua te vinden)

http://www.lua.org/faq.html#1.1
http://rudamoura.com/luaonmacosx.html

Lua krijg je niet zomaar geïnstalleerd op Mac's vanaf OS X 10.7 vanwege de Gatekeeper functionaliteit.
https://support.apple.com/kb/ht5290

Er zijn wel diverse lua bestandsnamen te vinden op een Mac, die staan diep in de aanwezige python framework directories. In hoeverre Lua scripts en functionaliteit kan draaien via Python? Geen idee.


3) Welke Mac's zouden besmet zijn / komen hiervoor in aanmerking?

Wat feiten bijelkaar
- Vanaf OS X 10.7 staat Java niet meer voorgeïnstalleerd op Mac's, gebruikers kunnen het zelf wel installeren en zullen dan over het algemeen minimaal de Oracle Java Versie 7 hebben geïnstalleerd dat nog 'support' van Oracle heeft.

- Mac's hebben vanaf OS X 10.7 Gatekeeper functionaliteit wat 'zomaar' iets installeren niet mogelijk maakt zonder dat je daar als gebruiker aan meewerkt of actief de standaard security voorkeuren hebt verlaagd.

- Lua staat niet voorgeïnstalleerd op Mac's vanaf 10.7. Hoe krijg je dan ongezien en eenvoudig Lua als extra op die Mac geïnstalleerd?
Zelfs als een gebruiker standaard onder het admin account werkt zal het te maken krijgen met Gatekeeper meldingen (tenzij zelf standaard verlaagd).

Mogelijk 'Slachtoffer profiel'

- Een gebruiker met OS X 10.6 Snow Leopard of zelfs nog ouder als OS X 10.5 Leopard of 10.4 Tiger, en dus zonder gatekeeper functionaliteit!
- Standaard werkend onder het admin account
- Bij voorkeur geen password gebruikend
- Mogelijk op de hele mac geen enkele aandacht besteed aan welke systeem of programma voorkeuren dan ook, om te beginnen met Safari, Firewall en sharing voorkeuren (komt voor van OS X 10.0 tot 10.9).
- Met Java 6 en of nog ouder voorgeïnstalleerd en geactiveerd, dat natuurlijk geen updates meer krijgt en dus een groot security risico is!
- Browsend met Safari, dat geen updates meer krijgt en dus een security risico is! Automatic open auto-downloads geactiveerd, plugins en scripts geactiveerd.
- Gebruiker houdt niet van updaten, denkt dat zij up to date is door de Apple melding ;
No it's not up to date, and never will be if there never will be any updates available again!

- Gebruiker houdt eventueel wel van meldingen wegklikken of op oké (weg)klikken.


4) wat verder opvalt is de naamgeving iWorm.

Die is al eens gebruikt.
Is dat een dubbeling of een bewuste verwijzing naar deze?

I-Worm.Nimda

WW32/Nimda@mm
PE_NIMDA.A
W32/Nimda-A
Win32.Nimda.A,
W32.Nimda.A@mm

http://www.securemac.com/macosxnimdasamba.php

Het zou iets kunnen verklaren over de besmettingsroute.

http://www.securemac.com/macosxnimdasamba.php

Het is niet ongebruikelijk naar oude virussen te kijken en deze in en variant opnieuw leven in te blazen, kijk maar naar de opleving van Macro virussen.
Wat ook meer gebruikelijk wordt is Windows virussen en malware om te zetten naar werkbare virussen/malware voor de Mac.
Laat daar nou net Java een heel 'handig' transport middel voor zijn. En 'bedankt'!


5) I won't say this only once : get rid of Java if you don't need it! Even if you think you do.

Doe jezelf het allergrootste eenvoudigste security plezier en installeer Java niet, disable het, breek het of beter; haal het eraf als het erop staat en je het eigenlijk niet nodig hebt.
Heb je het wel nodig?
Kijk naar het belang van het programma(atje) en kijk of er daarvoor alternatieven zijn.
Zijn die er niet overweeg dan heel sterk of een een of ander provider dongeltje dat je toch bijna nooit gebruikt of een ander lullig java app-je het waard is je systeem zo in de gevaren zone te plaatsen. Als het er niet op staat heb je er ook geen omkijken naar.
Simpeler en doeltreffender kan gewoon niet.


6) Het ziet er enerzijds gecompliceerd uit, anderzijds ook weer niet.

- De malware lijkt eenvoudig te detecteren en verwijderbaar.
Zoek de bestands directories eens op en kijk of die bestanden er staan.

- Java gedeactiveerd houden en de Java voorkeuren per account doornemen!
Java verwijderen beter als je het niet gebruikt.
Java installatie vermijden ook al krijg je een pop up dit wel te doen. Zoek eerst uit waarom dat programma dat dan wil.
- Gatekeeper op het hoogste niveau zetten
- Standaard werken onder een standaard account en niet onder een admin account
- Niet browsen met Safari als het niet meer supported wordt
- Belangrijke systeem voorkeuren doornemen : Security, Firewall, Sharing voorkeuren (zo min mogelijk sharen!), Software Update ( Flashplayer )
- Safari voorkeuren doornemen! Java plugin uit! In ieder geval je plugins updaten, flash, silverlight, java, adobe reader, office plugins (???)

- Heel algemeen, alle niet-Apple programma's zelf doorlopen openen en vanuit daar handmatig updaten !!!
Vaak best een klus maar een belangrijke klus.

Stay Safe en Happy with your Mac

Dank voor de uitgebreide aanwijzigingen

Maar ook deze bij deze OS-en moet je een eerste keer runnen bevestigen met een Okay. Wat een heleboel mensen misschien toch doen.


En toch is OSX 10.6 goed tegen Java misbruik beschermd. Oracle heeft in Java 6 een beveiliging ingebouwd en Apple in Safari 5. Als je dus een Java Applet voor het eerst runt, moet je eerst aan Java bevestigen dat dit specifieke applet van dat domein uitgevoerd mag worden. Vervolgens komt Safari met een gelijksoortige vraag. Dus je moet èn Java èn Safari niet geüpdatet hebben. Dus de update functie uit hebben staan.*

Ik ben benieuwd wat Apple met deze malware gaat doen. Als zij het als een bedreiging zien, zal het vast in de XProtect.plist terecht komen en op die manier buiten de deur gehouden worden.

Ik heb net op mijn iMac met OSX 10.6 gekeken. De modificatiedatum van de XProtect file is 25 sept 2014. Dus die wordt ook voor dat systeem nog gepushed met nieuwe blokkades. o.a. staat nu de minimum Flashplayer op de laatste versie 15.0.0.152. Het is niet helemaal waar dat naar dat OS geen enkele beveiligingsupdate naar toe gaat. En die XProtect.plist wordt ook geüpdatet als je de gewone update functie uit hebt staan.

*Edit: Als je Java nooit geüpdatet hebt, zorgt het XProtect systeem ervoor dat Java niet uitgevoerd wordt omdat die alles ouder dan Java 1.6.0_45 blokkeert.

Die malware maakt zelf die directories aan, Java heeft er (vooralsnog) niets mee te maken.

Verder is DrWeb blijkbaar nog niet zover dat ze de dropper al hebben (geen hash), wat zou betekenen dat het niet over een email-bijlage gaat oid... Wat wel?

Sorry dames en heren fans, nog even geen conclusies trekken...

Kom nou toch,
lees je zelfs niet wat je van een ander 'quotet'?

Hebben we er ineens zomaar een tweede Java adept bij?
Vast niet, gezien de geheelontkennershouding, daarnaast nog trollen met 'fans' bewoordingen helpt niemand verder.
Twee zaken die geen enkele constructieve discussie kan gebruiken.

Mijn eerdere reactie was tenminste een poging één en ander te analyseren bij beweerde 18.000 besmettingen.
Van mij mag je het niet geloven of geheel ontkennen hoor. Hou het dan bij : nietes!
Wel zo kort en efficiënt. Of het je enige security biedt is de vraag.

Java, Java, Nee-Va
Het vorige grote Java security debacle betrof ruim 600.000 besmettingen op Mac's.
Alle reden om een heel verhaal aan Java te besteden en dat te blijven doen.

Slechts afdingen op details in die analyse poging is wat makkelijk en heeft geen toegevoegde waarde.
Dat geldt ook voor de opmerking aangaande de XProtectlijst die nog bij wijze van minimale uitzondering wordt geüpdatet (iTunes kan je ook nog updaten! En inderdaad ook belangrijk, goed dat ik het zelf zeg, vergeten te vermelden ;-) .
Het zeer minimale kleine update lijstje van XProtect staat werkelijk in geen enkele verhouding tot de bij tijd en wijle grote security-updates (!) en browser updates die een OS X (10.6, 10.5 , 10.4) moet missen als het niet meer supported wordt.

! XProtect 'mag geen' reden zijn geen av scanner op je Mac te gebruiken. XProtect is géén vervanging voor een av product daarvoor zijn er veel te weinig malware definities in opgenomen.
Dat je het weet. Kijk maar op de vergelijkende lijst die Securityspread.com regelmatig uitbrengt.
http://securityspread.com/detection-rate-results/

Dat betekent overigens niet dat genoemde oudere OS X versies niet vergaand veilig zijn te krijgen.
Daar moet je echter wel flinker de security handen voor uit de mouwen steken.
Geen werk dat een gemiddelde gebruiker uit zichzelf doet. Onder begeleiding wel.

Werken aan OS X security bij een ouder OS X begint met erkennen dat de boel niet meer 'vanzelf' veilig is, met het ontkennen van dat idee werk je actief mee aan de een verhoogd malware infectie risico bij je zelf of bij een ander.

Het is maar waar je je loyaliteit neerlegt.
Alleen het nieuwste OS X op je nieuwste dure Mac? Java?, praktische security voor een bredere Mac gebruikersgroep?

Ik ga voor de mogelijk meer kwetsbare groep, loyaliteit en uitdaging, de groep die ook nog met veel plezier werkt op oudere Mac's en geen Mavericks kan draaien. Genoeg gebruikers die met een Mac van Ma of Pa beginnen of een tweedehands Mac, die nieuwe Mac komt later wel een keertje.

Stay secure in de 'tussentime'.
;-)

Google tl;dr even.
Ik ben alles behalve fan van Java, en als je "fans" al opvat als trollen... Tsja.., typisch.

Inhoudelijk:
Jij analyseert helemaal niets.
Misschien beschouw je je bijdrage als behulpzaam, effectief is het allerminst.
Ik ben erg benieuwd hoe de dropper z'n werk doet en hoe deze verspreid wordt. 0-day, social engeneering, hack, bijlage, update, of nog wat anders.
Er is NIETS dat wijst op een Java-exploit.

Het feit dat DrWeb z'n mond houdt kan maar 2 dingen betekenen, dat de dropper nog niet is aangetroffen / geanalyseerd, of dat deze gebruikt maakt van een 0-day waarvoor eerst een patch moet worden gemaakt.

Dus ff geduld nog...