Wat opmerkingen1) Java again?
Nothing new, what else did you expect? ;-)
Naamgeving deelbestanden doet Java-malware vermoeden : JavaW, com.JavaW
Als het er is, te vinden in de directories
/Library/Application Support/
(/Library/Application Support/JavaW)
/Library/LaunchDaemons/
(Library/LaunchDaemons/com.JavaW)
Bestanden verwijderen en java eraf als je het niet nodig hebt.
2) Lua en Python functionaliteit gebruikt?
Basic backdoor commands for Lua-scripts can be used to perform the following actions:
Voorzover ik heb kunnen nagaan is Lua niet standaard voorgeïnstalleerd onder Mac Os X.
/usr/local/bin/lua
of
/usr/local/bin/
[/i](en geen Lua te vinden)
http://www.lua.org/faq.html#1.1
http://rudamoura.com/luaonmacosx.html
Lua krijg je niet zomaar geïnstalleerd op Mac's vanaf OS X 10.7 vanwege de Gatekeeper functionaliteit.https://support.apple.com/kb/ht5290
Er zijn wel diverse lua bestandsnamen te vinden op een Mac, die staan diep in de aanwezige python framework directories. In hoeverre Lua scripts en functionaliteit kan draaien via Python? Geen idee.
3) Welke Mac's zouden besmet zijn / komen hiervoor in aanmerking?
Wat feiten bijelkaar- Vanaf OS X 10.7 staat Java niet meer voorgeïnstalleerd op Mac's, gebruikers kunnen het zelf wel installeren en zullen dan over het algemeen minimaal de Oracle Java Versie 7 hebben geïnstalleerd dat nog 'support' van Oracle heeft.
- Mac's hebben vanaf OS X 10.7 Gatekeeper functionaliteit wat 'zomaar' iets installeren niet mogelijk maakt zonder dat je daar als gebruiker aan meewerkt of actief de standaard security voorkeuren hebt verlaagd.
- Lua staat niet voorgeïnstalleerd op Mac's vanaf 10.7. Hoe krijg je dan ongezien en eenvoudig Lua als extra op die Mac geïnstalleerd?
Zelfs als een gebruiker standaard onder het admin account werkt zal het te maken krijgen met Gatekeeper meldingen
(tenzij zelf standaard verlaagd).
Mogelijk 'Slachtoffer profiel'- Een gebruiker met OS X 10.6 Snow Leopard of zelfs nog ouder als OS X 10.5 Leopard of 10.4 Tiger, en dus zonder gatekeeper functionaliteit!
- Standaard werkend onder het admin account
- Bij voorkeur geen password gebruikend
- Mogelijk op de hele mac geen enkele aandacht besteed aan welke systeem of programma voorkeuren dan ook, om te beginnen met Safari, Firewall en sharing voorkeuren
(komt voor van OS X 10.0 tot 10.9).
- Met Java 6 en of nog ouder voorgeïnstalleerd en geactiveerd, dat natuurlijk geen updates meer krijgt en dus een groot security risico is!
- Browsend met Safari, dat geen updates meer krijgt en dus een security risico is! Automatic open auto-downloads geactiveerd, plugins en scripts geactiveerd.
- Gebruiker houdt niet van updaten, denkt dat zij up to date is door de Apple melding ;
Your software is up to date
Software Update doesn't have any new software for your computer at this time.
No it's not up to date, and never will be if there never will be any updates available again!
- Gebruiker houdt eventueel wel van meldingen wegklikken of op oké (weg)klikken.
4) wat verder opvalt is de naamgeving iWorm.
Die is al eens gebruikt.
Is dat een dubbeling of een bewuste verwijzing naar deze?
I-Worm.Nimda
WW32/Nimda@mm
PE_NIMDA.A
W32/Nimda-A
Win32.Nimda.A,
W32.Nimda.A@mm
http://www.securemac.com/macosxnimdasamba.php
Het zou iets kunnen verklaren over de besmettingsroute.
Nimda is a Windows worm/virus. However, if your Macintosh is connected to the internet or network with File Sharing methods enabled you may find reminisces of Nimda left behind.
Jared noted that he had Samba services enabled on Mac OS X server with guest access turned on, he kept on finding .eml files in various places within his hard drive. After he deleted the files they would re-appear again. This problem exists in all operating systems which have samba services for them on standard ports.
Simple Fix: Disable guest access or file sharing. If for some reason guest must be turned on use a firewall only to allow computers within the network to access file sharing services.
http://www.securemac.com/macosxnimdasamba.php
Het is niet ongebruikelijk naar oude virussen te kijken en deze in en variant opnieuw leven in te blazen, kijk maar naar de opleving van Macro virussen.
Wat ook meer gebruikelijk wordt is Windows virussen en malware om te zetten naar werkbare virussen/malware voor de Mac.
Laat daar nou net Java een heel 'handig' transport middel voor zijn. En 'bedankt'!
5) I won't say this only once : get rid of Java if you don't need it! Even if you think you do.Doe jezelf het allergrootste eenvoudigste security plezier en installeer Java niet, disable het, breek het of beter; haal het eraf als het erop staat en je het eigenlijk niet nodig hebt.
Heb je het wel nodig?
Kijk naar het belang van het programma
(atje) en kijk of er daarvoor alternatieven zijn.
Zijn die er niet overweeg dan heel sterk of een een of ander provider dongeltje dat je toch bijna nooit gebruikt of een ander lullig java app-je het waard is je systeem zo in de gevaren zone te plaatsen. Als het er niet op staat heb je er ook geen omkijken naar.
Simpeler en doeltreffender kan gewoon niet.
6) Het ziet er enerzijds gecompliceerd uit, anderzijds ook weer niet.- De malware lijkt eenvoudig te detecteren en verwijderbaar.
Zoek de bestands directories eens op en kijk of die bestanden er staan.
- Java gedeactiveerd houden en de Java voorkeuren per account doornemen!
Java verwijderen beter als je het niet gebruikt.
Java installatie vermijden ook al krijg je een pop up dit wel te doen. Zoek eerst uit waarom dat programma dat dan wil.
- Gatekeeper op het hoogste niveau zetten
- Standaard werken onder een standaard account en niet onder een admin account
- Niet browsen met Safari als het niet meer supported wordt
- Belangrijke systeem voorkeuren doornemen : Security, Firewall, Sharing voorkeuren
(zo min mogelijk sharen!), Software Update
( Flashplayer )- Safari voorkeuren doornemen! Java plugin uit! In ieder geval je plugins updaten, flash, silverlight, java, adobe reader, office plugins
(???)- Heel algemeen, alle niet-Apple programma's zelf doorlopen openen en vanuit daar handmatig updaten !!!
Vaak best een klus maar een belangrijke klus.
Stay Safe en Happy with your Mac