image

Anti-virusbedrijf: 18 Macs geïnfecteerd met WireLurker

vrijdag 7 november 2014, 12:49 door Redactie, 14 reacties

De WireLurker-malware die Mac-computers en iOS-toestellen kan infecteren is door het Russische anti-virusbedrijf Kaspersky Lab op slechts 18 computers aangetroffen. De virusbestrijder baseert zich op gegevens die vrijwillig door gebruikers van de anti-virussoftware worden gedeeld. Van de 18 infecties bevinden zich er 11 in China. Verder zijn er infecties in Canada, Frankrijk, Groot-Brittannië, Hong Kong, Taiwan en de Verenigde Staten waargenomen.

WireLurker zou inmiddels zijn uitgeschakeld, maar verspreidde zich via gekraakte illegale apps die via een onofficiële Chinese app store werden verspreid. Eenmaal actief op een Mac-computer wachtte het totdat er een iOS-toestel werd aangesloten. Via een legitiem certificaat, dat inmiddels door Apple is ingetrokken, werden er kwaadaardige apps op het toestel geplaatst. De aanval werkte zowel tegen gejailbreakte als niet gejailbreakte iOS-toestellen.

De cijfers van Kaspersky Lab geven geen volledig beeld van de werkelijke situatie. Getroffen Mac-gebruikers gebruikten mogelijk een virusscanner van een andere leverancier of helemaal geen anti-virussoftware. Beveiligingsbedrijf Palo Alto Networks dat WireLurker ontdekt stelde in de aankondiging dat er mogelijk honderdduizenden apparaten besmet zijn geraakt, maar kon ook geen concrete cijfers geven.

Volgens de Russische virusbestrijder laat WireLurker wel zien dat internetgebruikers voorzichtig moeten zijn met het downloaden van applicaties van onofficiële bronnen, zoals alternatieve marktplaatsen, bestandsuitwisselingssites, torrents en andere P2P-bestandsuitwisselingsnetwerken. Met name bij Mac-gebruikers zou het gebruik van illegale software nog altijd één van de voornaamste manieren zijn waardoor computers met malware besmet raken.

Reacties (14)
07-11-2014, 13:01 door Anoniem
Erg he,

Mac dreigingen ;)
07-11-2014, 14:16 door Anoniem
when a white shiny apple turns into gold you attract the real bugs...
07-11-2014, 15:26 door Anoniem
Ik gebruik op de beide Mac's Kaspersky intertetsecurity.
Dus ben wel extra beveiligd,de interne Mac antivirus beveiliging binnen OSX doet het ook wel redelijk.
Maar ja men moet met de tijd mee gaan,dus ook Mac's beter tegen ongedierte beveiligen om het zo maar te zeggen,om toch een virusscanner op je Mac te installeren.
07-11-2014, 15:30 door [Account Verwijderd]
[Verwijderd]
07-11-2014, 15:31 door [Account Verwijderd]
[Verwijderd]
07-11-2014, 15:38 door Anoniem
Ook leuk om te lezen, je moet en de virusscanner hebben en OOK de informatie delen... In die combinatie zijn er 18 geregistreerd.

Meerendeels van Mac OSX gebruikers heeft geen virusscanner... Laat staan deze, laat staan de informatie wordt gedeeld...

(Behalve dat ingebouwde ding van Apple zelf dan...)
07-11-2014, 16:28 door Anoniem
Opstarten vanaf een kloon, of een externe HD met (schoon) MacOSX en van de 'besmette' schijf deze bestanden zoeken m.b.v. command-shift-G
/Users/Shared/run.sh
/Library/LaunchDaemons/com.apple.machook_damon.plist
/Library/LaunchDaemons/com.apple.globalupdate.plist
/usr/bin/globalupdate/usr/local/machook/
/usr/bin/WatchProc
/usr/bin/itunesupdate
/Library/LaunchDaemons/com.apple.watchproc.plist
/Library/LaunchDaemons/com.apple.itunesupdate.plist
/System/Library/LaunchDaemons/com.apple.appstore.plughelper.plist
/System/Library/LaunchDaemons/com.apple.MailServiceAgentHelper.plist
/System/Library/LaunchDaemons/com.apple.systemkeychain-helper.plist
/System/Library/LaunchDaemons/com.apple.periodic-dd-mm-yy.plist
/usr/bin/com.apple.MailServiceAgentHelper
/usr/bin/com.apple.appstore.PluginHelper
/usr/bin/periodicdate
/usr/bin/systemkeychain-helper
/usr/bin/stty5.11.pl
/etc/manpath.d/
/usr/local/ipcc/

Bestanden naar de prullenmand slepen.

(P.s. reacties van Picasa3 en anoniem..... (zucht)
07-11-2014, 18:29 door Anoniem
Door Anoniem: Ook leuk om te lezen, je moet en de virusscanner hebben en OOK de informatie delen... In die combinatie zijn er 18 geregistreerd.

Meerendeels van Mac OSX gebruikers heeft geen virusscanner... Laat staan deze, laat staan de informatie wordt gedeeld...

(Behalve dat ingebouwde ding van Apple zelf dan...)

-en dat 'ingebouwde ding' (Xprotect) heeft na een dag al string updates die openen/starten van 'besmette bestanden' blokkeert. (vannacht door Apple geupload)
07-11-2014, 20:00 door Anoniem
Door Anoniem 16:28: Opstarten ..

Bestanden naar de prullenmand slepen.
En die prullenmand secure legen.
(zelf bewaar ik in voorkomende gevallen toch de files in een encrypted password protected dmg. Dan heb ik ze nog wel maar kunnen ze geen kwaad, mocht je iets hebben weggegooid op verkeerd advies, want dat kan voorkomen).

Goed om een keer (wat vaker) dit soort Machulp bijdrag(en) van anderen te zien :)

(P.s. reacties van Picasa3 en anoniem..... (zucht)
P.s., 18 infecties,
http://25zbkz3k00wn2tp5092n6di7b5k.wpengine.netdna-cdn.com/files/2014/11/62.png
hoeveel gevallen in Nederland?


Beetje relativerende MacHumor moet toch kunnen bij maar liefst 4 nieuwsberichten over Wirelurker (MacNewsLurker?)
in twee dagen en het het marginale verschil tussen verwachte honderdduizenden besmettingen en gemeten/verwachte enkele tientallen?
Het opgebouwde loodzware gemoed maakte direct plaats voor volle levenslust, wat was dat een griezelige mascarapiraat,
http://www.thesafemac.com/wp-content/uploads/2014/11/WireLurker-installer.png
brrr.


Nieuwste XProtect al binnen?
http://www.thesafemac.com/new-wirelurker-malware-infects-mac-os-x-and-ios/
Hier nog niets, oh, oh, ..
of had jij al de nieuwste XProtectPlistConfigData.pkg download link al gevonden?

13:0;-)
07-11-2014, 23:01 door Anoniem
Neen geen download, maar Xprotect geeft bij mij aan:
Info:
Aanmaak: gisteren, 02:34
Voorvertoning:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<array>
<dict>
<key>Description</key>
<string>OSX.Machook.A</string>
<key>LaunchServices</key>
<dict>

Waarin 'Machook' de andere benaming is van de betreffende malware.
08-11-2014, 09:39 door Anoniem
Heeft Apple een Eigen virusscanner (Xprotect). Zou niet moeten mogen ontneemt anderen de vrije markt voor alternatieve producten. Daar zou de EU actie voor moeten nemen.
08-11-2014, 21:30 door Nietsnut
Zie je nou wel gewoon ook rotzooi die Mac-computers onveilige zooi Windows heeft wat dit betreft een grote inhaalslag gedaan en reageert veel sneller op digitale dreigingen.
10-11-2014, 02:43 door Anoniem
^^ ?

/usr/bin/globalupdate/usr/local/machook/

Oeps !!
Dat moesten 2 aparte strings zijn


/usr/bin/globalupdate/
usr/local/machook/

Foutje van Palo Alto
https://github.com/PaloAltoNetworks-BD/WireLurkerDetector

"Fixed a critical bug which may affect detection caused by typo. Thanks a lot @thomasareed"

Correctie uitleg
https://github.com/PaloAltoNetworks-BD/WireLurkerDetector/commit/22542da8044782cd944e3d9f4a4cc0d5dfeb0fe5

Nieuw Script
https://github.com/PaloAltoNetworks-BD/WireLurkerDetector/blob/master/WireLurkerDetectorOSX.py

Aanleiding ontdekking - 'False positives Avast op plain text files / html, rss feeds door de Safe Mac'

Na de fout van Palo kwamen daar nog weer nieuwe de vergissingen van Avast overheen met als gevolg False Positives op tekst en websites-rss.

Constateringen over en weer hier te volgen

http://www.thesafemac.com/avast-detects-rss-feed-as-wirelurker/
http://www.thesafemac.com/about-the-latest-avast-false-positive/
10-11-2014, 09:51 door Anoniem
Door Nietsnut: Zie je nou wel gewoon ook rotzooi die Mac-computers onveilige zooi Windows heeft wat dit betreft een grote inhaalslag gedaan en reageert veel sneller op digitale dreigingen.
MS klopt tegenwoordig ook mee aan de Apple code
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.