Vul hieronder je gebruikernaam en wachtwoord in.

Alles over de BackDoor.Flashback Trojan

105

De afgelopen dagen werden Mac-gebruikers plotseling opgeschrikt door het nieuws dat er meer dan een half miljoen Macs wereldwijd de BackDoor.Flashback Trojan geïnstalleerd zouden hebben, en veel mensen vragen zich af wat dit nu inhoudt.

Heb je Java op je Mac staan?

De BackDoor.Flashback Trojan werkt alleen op Mac waar Java op staat geïnstalleerd. Daarom is het de moeite om te vermelden dat Java bij OS X 10.7/Lion standaard niet meegeleverd is, en als je het zelf niet hebt geïnstalleerd je het dus ook helemaal niet op je Mac hebt staan.

Weet je niet zeker of je Java op je Mac hebt staan, dan kan je in het programma Terminal het volgende commando invoeren gevolgd door de Return-toets:

java -version



Als je Java op je Mac hebt staan dan zal het versienummer verschijnen, bijvoorbeeld zoals hieronder:

java version "1.6.0_31"
Java(TM) SE Runtime Environment (build 1.6.0_31-b04-413-11M3623)
Java HotSpot(TM) 64-Bit Server VM (build 20.6-b01-413, mixed mode)



Staat de BackDoor.Flashback Trojan op je Mac?

Waarschijnlijk vinden veel van ons het veel belangrijker om meteen te weten of ze deze Trojan op hun Mac hebben staan. Dat kan je eenvoudig nakijken door deze AppleScripts naar binnen te halen. Als je die opstart en je krijgt te zien wat je hieronder ziet, dan heb je de Trojan niet op je Mac staan.

Hoe verwijder ik deze Trojan?

Mocht je bovenstaande controle hebben uitgevoerd en blijkt dat de BackDoor.Flashback Trojan op je Mac staat, dan kan je met de uitleg op deze pagina er voor zorgen dat je er weer vanaf komt.

Hoe bescherm ik me tegen deze Trojan?

Deze Trojan installeert alleen maar op Macs waar Java op staat, en Java is (samen met Flash) het platform waar de meeste malware voor wordt verspreid, dus Java van je Mac verwijderen lijkt geen slecht idee.

Wil je je alleen beschermen tegen deze Trojan? Als je het programma Little Snitch, Xcode, VirusBarrier X6, iAntiVirus, Avast!, ClamXav, HTTPScoop of Packet Peeper op je Mac hebt staan dan ben je sowieso immuun.

Wil je Java verwijderen?

Wil je door al dit gedoe Java het liefst van je Mac verwijderen dan kan je met Spotlight zoeken terwijl je de Systeembestanden ook meeneemt, maar het makkelijkst is waarschijnlijk om /System/Library/Frameworks/JavaVM.framework te hernoemen of te verwijderen.

Als je dan

java -version


in Terminal invoert gevolgd door een Return zal je zien dat je dan als resultaat krijgt:

java: command not found



Is er nu echt een probeem?

Dat is waarschijnlijk de grootste vraag, er hebben al een heleboel mensen over deze Trojan op ons forum gereageerd, maar ik heb volgens mij nog niemand gezien die de Trojan ook echt op zijn of haar Mac heeft staan.

Het nieuws dat deze Trojan meer dan een half miljoen Macs besmet heeft komt van de Russische anti-virus maker Dr. Web, en in het verleden hebben dit soort fabrikanten zich nog wel eens schuldig gemaakt aan het erg overdreven weergeven feiten terwijl er achteraf weinig of niets aan de hand was.

We zouden dan graag ook van jullie horen of jullie deze Trojan op je Mac hebben aangetroffen.

Mochten we nog meer te melden hebben over deze Trojan, dan zullen we het aan dit nieuwsbericht toevoegen.
 

Reacties

Nope, geen trojan aangetroffen (zonder dat één van de genoemde anti-virus pakketten zijn geïnstalleerd).

07 april 2012 Een ware MacFreak!

Ik had ook al op Twitter gevraagd of er mensen waren die deze Trojan al 'life' hebben aangetroffen. Niemand tot op heden. Ik vraag me dan ook inmiddels sterk af of dit geen storm in een glas water is, georkestreerd door een Antivirus bouwer en/of de MS-lobby.

07 april 2012 Een ware MacFreak!

Ja, dat vraag ik mij ook af.

07 april 2012 Een ware MacFreak!

En zelfs op Macfora (zoals MacRumors) in landen waar de Trojan meer Macs zou hebben besmet, vind ik niemand die een besmette Mac heeft...

Geen Trojan (ook geen virusscanner in gebruik)
Wat ben ik toch blij met mijn   tje

Denk inderdaad dat dit eerder een HOAX is.

07 april 2012 MacFreak Verslaafde

MacFreak voor het doorgeven van dit scriptje. Controle wordt zo wel erg gemakkelijk. Enne, helemaal schoon!

07 april 2012 MacFreak Veteraan

Geen Trojan op 3 geteste Mac's in huis, allemaal met Java nochtans.

07 april 2012 Redactielid

Ik zou het bijna zelf vergeten te melden, maar ik heb ook niks gevonden (Lion met Java, maar ook met Little Snitch).

@ Ger: het lijstje zijn niet allemaal anti-virusprogramma's. Xcode al helemaal niet en Little Snitch controleert niet wat er in komt, maar juist wel verkeer je Mac uitgaat (en dat heb ik zelf omdat ik niet zo gediend ben van allerlei ongevraagde acties van programma's op mijn Macs).

07 april 2012 MacFreak Verslaafde

Hoe haal je Java het best van je computer?

07 april 2012 Een ware MacFreak!


Citaat: Ruud Ravenhorst om 11:00, 7-04-2012
Ik vraag me dan ook inmiddels sterk af of dit geen storm in een glas water is, georkestreerd door een Antivirus bouwer en/of de MS-lobby.



In een ander draadje had ik al gezegd dat het een storm in een glas water is, en het nieuws dat er veel Mac's besmet zijn, komt inderdaad van een AV maker...

Ook mijn iMac gecontroleerd - schoon. Heb er wel Java/Javascript op, anders werken Facebook en de inlog bij de bank en bij Magister (schooladministratie) slecht of niet (uitgeprobeerd).
Ook vrienden van me met een Mac hebben hun computers gecontroleerd - ook daar geen backdoor (terecht merkt Intego op dat het hier GEEN trojan betreft...).
Overigens heb ik wel Sophos geïnstalleerd (overblijfsel van mijn wantrouwen uit de Win..... periode).
Een aantal testers beveelt Sophos overigens aan als een van de beste antimalware producten, maar ik weet dat 'echte' Mac-ers dan steigeren :sneaky2:

07 april 2012 MacFreak Verslaafde

Met Java - wat in vele omstandigheden waarschijnlijk ( PC Banking ? ) onmisbaar is.

Geen Trojannetje. Machine zo clean als wat.

07 april 2012 Een ware MacFreak!

Ik begin ook te gelegen dat het een flinke promotie-stunt is. De besmette Mac-gebruikers zijn zeker van die techy nerd types die het leuk vinden om hackers uit te dagen of zo...

07 april 2012 Gevorderd Lid

@Dutch Viking en DirtyMay: Java is niet zo onmisbaar hoor, anders had Apple het niet weggelaten uit Lion...
De overeenkomst tussen Java en JavaScript houdt op bij de naam, het zijn twee compleet verschillende dingen. JavaScript is inderdaad redelijk onmisbaar.

07 april 2012 Redactielid


Citaat: Alvinus om 11:51, 7-04-2012
Hoe haal je Java het best van je computer?



Java helemaal verwijderen is niet echt makkelijk. Je kan met Spotlight zoeken terwijl je de Systeembestanden ook meeneemt, maar het makkelijkst is waarschijnlijk om /System/Library/Frameworks/JavaVM.framework te hernoemen of te verwijderen.

(ik heb dit ook even aan het nieuwsbericht toegevoegd).

07 april 2012 Een ware MacFreak!


Citaat: Ruud Ravenhorst om 11:14, 7-04-2012
En zelfs op Macfora (zoals MacRumors) in landen waar de Trojan meer Macs zou hebben besmet, vind ik niemand die een besmette Mac heeft...



Toch zijn er wel mensen in de US die melden dat ze geraakt zijn.

The Loop - Instructions to see if you’ve been infected with the Flashback malware (via TUAW)

Citaat: John Welch

five infections out of about 60 machines checked. around 200 total on my network. Been seeing symptoms for two weeks, just didn't have the info to realize what it was.



Citaat:
John C. Welch is, among other things, the head of IT for The Zimmerman Agency, (http://www.zimmerman.com/), one of the three...cabarellos...behind Angry Mac Bastards (http://angrymacbastards.blogspot.com/), a contributor to Macworld.com, (http://www.macworld.com/), and a member of the steering committee for MacEnterprise.org (http://macenterprise.org/).

07 april 2012 MacFreak Verslaafde

Maar als die Trojan dan toch zo onschuldig was, waarom
doet Apple dan zo twee keer kort na elkaar een Java-update ?

Was er in Cupertino ook onnodige paniek ?
Of tonen ze hiermee dat ze alert zijn ?

07 april 2012 Redactielid

Pieter illustreert dat er toch echt mensen waren die geïnfecteerd waren, en ik denk dat Apple hier inderdaad redelijk alert gereageerd heeft.

07 april 2012 MacFreak Verslaafde

Hier geen trojans.

OSX 10.6.8



Henk

07 april 2012 MacFreak Veteraan

Bedankt trouwens voor deze post. Gelukkig niets aan de hand bij mij, maar krijg graag bevestiging want we zijn een keer aan de beurt.

07 april 2012 MacFreak Verslaafde

Toch even een citaat uit dat eerste artikel, Pieterr:

“We are not sure that all 500K are Mac users,” said Aleks Gostov, a chief security expert with Kaspersky, in a message on Twitter on Thursday. “I have some suspicions that probably bots for Windows also present.”

Gostov seemed to base his opinion on the fact that Windows machines provide a GUID (globally unique identifier), Microsoft’s implementation of the UUID standard. If Doctor Web wasn’t able to correctly parse the hexadecimal string that represents the GUID/UUID, the Russian firm may have counted Windows PCs among the 600,000-plus it thinks are Mac machines.

07 april 2012 Een ware MacFreak!

Er zijn 5 stappen om van "lek" naar "schade" te gaan:
1. Lek (daar heeft iedere software wel eens last van)
2. Proof of Concept (ten idee om het lek te gebruiken)
3. Exploit (een daadwerkelijk werkend stukje software)
4. Virus (het succesvol, ongemerkt verspreiden ervan)
5. Schade (virus/malware doet zijn schadelijke taak)

Bij de meeste lekken en zelfs proofs en exploits laat
Apple zelden van zich horen. Deze malware is best ver
gekomen en we zien dan ook dat Apple snel reageert !
De schade is gering. Ik maak me geen zorgen (meer).

07 april 2012 Redactielid

Waarbij twee opmerkingen bij de opsomming van Peter: het gaat hier nietom een virus maar om een Trojan (hij vermenigvuldigd in installeert zichzelf dus niet) en schade kan hier alleen maar optreden bij nieuwe Mac (= met Lion) waarop de gebruiker er zelf voor heeft gekozen om Java te installeren.

Macs zoals Apple ze levert kunnen dus geen schade oplopen, dat kan alleen als de gebruiker beslist dat hij/zij er Java op wilt installeren. Lijkt me een belangrijke nuance...

07 april 2012 MacFreak Verslaafde

Frameworks/JavaVM.framework te hernoemen of te verwijderen.
Ik vind dit niet in de bibliotheek. Wel alle soorten Framework maar niet de JavaVM.
Java is zeker geïnstalleerd.

07 april 2012 Redactielid

@ bigmac: Dat is in de map System die je vindt als je je harddisk opent. Daarin dus Library openen, daarin Frameworks en dar zou je die map moeten vinden.

Als dat niet is dan graag even vermelden welke versie van OS X je gebruikt (ik zit op Lion, misschien is het anders in voorgaande versies?).

07 april 2012 Een ware MacFreak!

@bigmac:  Alles staat in de /System/Library/Java map.

http://apple.stackexchange.com/questions/24131/uninstalling-java-on-lion

Overigens lijkt het mij enigszins overdreven om nu meteen maar Java compleet weg te gaan knikkeren, maar dat is een persoonlijke mening.

07 april 2012 Redactielid

@ Pieterr: Over welk systeem heb jij het nu?

Ik ben het trouwens eens met jou dat Java helemaal van je Mac af knikkeren waarschijnlijk helemaal niet nodig is, maar het leek me een goed idee om mensen de keuze te geven (ze hebben in Lion tenslotte ook zelf de keuze om het er op te zetten).

07 april 2012 Een ware MacFreak!

In plaats van Java van je Mac af te knikkeren, kun je het ook gewoon wat veiliger maken:
http://www.magmatic.com/apple-security-muse/2012/2/23/java-hardening-tips.html

07 april 2012 Een ware MacFreak!


Citaat: Robert om 13:37, 7-04-2012
@ Pieterr: Over welk systeem heb jij het nu?


Lion.

07 april 2012 Een ware MacFreak!

Ik heb 2 Mac's, met Snow Leopard en Lion, op beide staat Java (en Flash en Silverlight), en beide Mac Mac's zijn schoon.

En degenen die wel eens eerder een post van mij hebben gelezen, weten dat ik geen antiviruspakket gebruik.

Ik doe van alles met mijn computers, ik struin het hele web af, maar ik denk wel na wat ik doen. De meest vage sites die ik bezoek zijn pop-ups van torrent sites. Die klik ik meteen weer weg.

En over die 600.000 besmette Mac's, wat er later 500.000 bleken te zijn, waarbij later nog niet eens kon worden vastgesteld of het wel Mac's waren, deel dat getal maar eens door een heel groot getal, dan kom je waarschijnlijk dichter bij de waarheid.

En de mensen die beweren een besmette Mac te hebben: ik geloof het niet zo snel! Ik heb een paar collega's, PC tweakers en Mac haters, die zich zonder schaamte op een forum zouden inschrijven en daar een verhaal ophangen dat hun Mac besmet is. Ik heb verschillende Mac gebruikers in familie en vriendenkring, en ze hebben nog nooit een virus of andere malware gehad!

07 april 2012 Een ware MacFreak!

Nu het aantal verkochte OS X platformen is toegenomen, zullen we ook die soort berichten in de toekomst vaker gaan zien. Ik denk overigens niet dat het ooit zo vaart gaat lopen als met virussen/trojans voor Windows, gezien het gegeven dat OS X meer solide is opgebouwd.

07 april 2012 Een ware MacFreak!

Het aloude argument "wacht maar totdat Mac populairder wordt, dan komen er meer virussen voor" heeft wat dat betreft nog steeds geen resultaten opgeleverd. Integendeel: voor het meest populaire smartphone- en tablet-platform (iOS) is nog geen enkele malware gemaakt noch ontdekt. Ben benieuwd wat voor een flauwe smoes men daarvoor weet op te kloppen.

Maar goed, de Mac lijkt nu even een wat zwakker moment mee te maken, maar de simpele patch van Apple of desnoods een handmatige ingreep keert het tij alweer. Terug naar de chocolade paaseitjes !

07 april 2012 Een ware MacFreak!


Citaat: Peter Villevoye om 14:00, 7-04-2012
Terug naar de chocolade paaseitjes !


En dat lijkt mij een mooie afsluiting van dit draadje!

07 april 2012 Redactielid

Sec bekeken is dit niet eens een probleem van Apple, ze leveren tenslotte Java niet meer mee met Lion (en dat is ook niet voor niets). Als ik een accessoire op mijn auto monteer kan ik me daarna toch ook niet bij de fabrikant van de auto melden voor de garantie..?

En Mountain Lion wordt alleen nog maar veiliger, dus ik voorzie eerder minder dan meer problemen voor Apple in de toekomst.

I'm clean...

07 april 2012 MacFreak Veteraan

Ook hier geen enkel probleem.  

07 april 2012 MacFreak Verslaafde

Ik had Java, maar niet de Trojan.
Java toch maar verwijderd.

07 april 2012 MacFreak Verslaafde

Als Java op Lion staat, hebben we het er zelf opgezet.
Waarom zouden we dat dan gedaan hebben ?

Wat voor soort applicaties of bestanden hebben Java nodig ?

Voor ik het er afgooi had ik graag geweten
wat eventueel de consequenties zijn.

Ik gebruik Filemaker Server. Dit leunt sterk op Java.

07 april 2012 Een ware MacFreak!

Mountain Lion wordt veiliger dan Lion, Windows 8 wordt veiliger dan Windows 7, Flash is al opgegeven door zijn maker en zal dus van het toneel verdwijnen, en Java wordt buiten het rekencentrum steeds minder belangrijk.

Van de storm in een glas water is nu alleen het glas water nog over. Zonder Flash en Java hebben antivirusmakers straks geen werk meer!

07 april 2012 MacFreak Verslaafde


Citaat: borg110 om 15:52, 7-04-2012
Ik gebruik Filemaker Server. Dit leunt sterk op Java.



" Filemaker Server " Een verre dochter van Apple ?

07 april 2012 Een ware MacFreak!


Citaat: SteefJoops om 13:55, 7-04-2012
Nu het aantal verkochte OS X platformen is toegenomen, zullen we ook die soort berichten in de toekomst vaker gaan zien.


Even afgezien van het feit dat dit zinnetje zo langzamerhand wel erg sleets begint te worden, heeft deze specifieke kwestie helemaal niets te maken met het 'aantal verkochte OS X platformen'. Zelfs al was er nog maar 1 Mac op de hele wereld, dan zou deze al kwetsbaar kunnen zijn geweest voor dit Java-lek.

07 april 2012 MacFreak Verslaafde

Bij mij ook niks aan de hand. Snow Leopard met java, maar in m'n browsers heb ik Java uit staan.


Citaat: DirtyMay om 16:40, 7-04-2012

" Filemaker Server " Een verre dochter van Apple ?



Filemaker is inderdaad een volle dochter van Apple. In dat verband denk ik dan ook dat Apple de volle verantwoordelijkheid heeft om problemen met Java mede te helpen oplossen. Dat hebben ze dan ook gedaan in deze situatie. Berichtjes waarin men het heeft over wel of niet de 'schuld' van Apple voor het lek in Java zijn wat mij betreft dan ook volkomen off-topic. Gelukkig heeft Apple ons een update gegeven. Afgezien van de 'schuldvraag' en ondanks of je Java wel of niet zelf op je computer hebt geplaatst.

07 april 2012 MacFreak Verslaafde

4 laptops (3* Lion, 1 * Snow leopard) Java op de Snow Leopard machine. Geen trojans, wel updates bijgehouden.

07 april 2012 Een ware MacFreak!

Script gedraaid en NIKS gevonden !!

Ik heb OS X.7.3

(Bewerkt door Cees Sweere om 18:32, 7-04-2012)

We hadden ook beter kunnen vragen om het even te melden als je wel iets hebt aangetroffen, dan niet. Op die manier was 't draadje tot dusver leeg gebleven. Nu denken velen: "Ah, al 47 reacties: dan moet er wel iets aan de hand zijn..."



07 april 2012 Een ware MacFreak!

Wat heb ik toch een vertrouwen in MacFreak!
Ik download zonder zorgen dit script en test mijn Mac. Niks gevonden.
Toch zou ik dit niet bij de eerste de beste site doen, hehe

grtz,
MacMiep

07 april 2012 Redactielid

@ MacMiep: Maar ik had de link naar dat script ook niet gegeven als ik niet zeker had geweten dat dat alleen maar voor het goede doel diende...

07 april 2012 Een ware MacFreak!

@Robert: uiteraard!

Jullie bewijzen weer wat ik in mijn boekjes en website zeg:
De beste veiligheidsmaatregel als Macgebruiker is:

Blijf op de hoogte van het Mac-nieuws, en dan niet op Telegraaf of Nu.nl, maar bijvoorbeeld hier.

grtz,
MM

(Bewerkt door MacMiep om 21:35, 7-04-2012)

10.5.8, met java, silverlight & flash: schoon.

07 april 2012 Een ware MacFreak!

Even een vraagje: moet je in de config om Java uit te zetten in Chrome (18) of Firefox (11)?
Ik zie het niet in de voorkeuren, en heb ook geen zin om de plugin te verwijderen.
Dit even los van de VM.

Gelukkig ik had het niet helemaal goed uitgevoerd.
Krijg bovenstaande meldingen ook te zien.
Pffffffff

(Bewerkt door videlyne om 9:00, 8-04-2012)

08 april 2012 MacFreak Verslaafde

Getest. Wel Java voor de intranettoepassingen van het werk, geen trojans. Geen AV-pakket.

(Bewerkt door Glenn om 10:17, 8-04-2012)

08 april 2012 MacFreak Verslaafde

Ik heb hier naast een iMac met SL ook nog een PB G$ en iMac G4 met oudere systemen draaien. Deze werken alle nog redelijk goed. De testscripts werken alleen niet op deze systemen. Kan iemand iets over de veiligheid van deze vertellen.

08 april 2012 MacFreak Verslaafde

Waarom al die posts hier? Mac kent en heeft geen virussen lees ik op alle fora.

Geen paniek dus. Nergens voor nodig. Wat niet is, kan niet, en wat niet kan is dus niet.

08 april 2012 MacFreak Verslaafde

Wel Java, geen Trojan. Ik moet later nog even mijn MBA checken.

08 april 2012 MacFreak Verslaafde

En ook mijn MBA is clean.

08 april 2012 Een ware MacFreak!

Ik was op beide Macs clean en heb op mijn MBA Java al direct er af gegooid omdat ik daar toch alleen maar mee surf verder staat daar bijna geen App op.

Alleen als je Xcode op je iMac hebt staan kan je dan ook Java verwijderen of heeft Xcode Java nodig om te draaien?

Ik gebruik Xcode namelijk alleen voor de iOS Simulator die erin zit, dit is wel handig bij het testen van websites.

08 april 2012 Een ware MacFreak!

Xcode heeft geen Java nodig.

08 april 2012 MacFreak Veteraan


Citaat: Shmoo om 16:42, 8-04-2012

Alleen als je Xcode op je iMac hebt staan kan je dan ook Java verwijderen  of heeft Xcode Java nodig om te draaien?



Je kunt vrij eenvoudig bepalen of een programma Java nodig heeft. Zorg ervoor dat je het niet hebt geïnstalleerd en zodra een programma het nodig heeft krijg je een melding met de vraag om het te installeren (onder Lion).

@Pieterr: How to solve the problem when it is impossible to do the experiment?

08 april 2012 Een ware MacFreak!

Oke bedankt..

Ik zal het eens verwijderen kijken of een programma het gaat missen in de toekomst.

08 april 2012 Een ware MacFreak!


Citaat: Mazirian om 11:38, 8-04-2012
Waarom al die posts hier? Mac kent en heeft geen virussen lees ik op alle fora.
Geen paniek dus. Nergens voor nodig. Wat niet is, kan niet, en wat niet kan is dus niet.


Omdat er nog steeds veel mensen zijn die het verschil niet kennen tussen een virus en een Trojan...
...Nee, ik heb het niet over de anderen.  

Wel Java. Geen backdoorflashback-trojan op m'n mac . . .

08 april 2012 MacFreak Verslaafde

Geen probleem hier.

08 april 2012 Een ware MacFreak!

Ok Maccers,

nieuwe posts dat er niets in aangetroffen en je dus geen probleem hebt zijn niet meer nodig.
Zie post van @Ger hieronder.



Citaat: Ger Nijkamp om 19:08, 7-04-2012
We hadden ook beter kunnen vragen om het even te melden als je wel iets hebt aangetroffen, dan niet. Op die manier was 't draadje tot dusver leeg gebleven. Nu denken velen: "Ah, al 47 reacties: dan moet er wel iets aan de hand zijn..."
   

08 april 2012 MacFreak Verslaafde


Maar ik wil toch graag even de 'community' bedanken voor de heldere uitleg op pagina 1
plus een makkelijk te volgen protocol voor 'de rest van ons' waarmee in 1 minuut het
predicaat: "veilig" kon worden behaald.

08 april 2012 MacFreak Verslaafde

Ook helemaal niets hier. Lijkt op storm in glas water / viral marketing campaign van anti-virus verkoper.

08 april 2012 Een ware MacFreak!

@Jasper, waar is de tijd dat mensen nog de tijd hadden om te lezen...

Mijn post op de vorige pagina gezien, waarin ik @Ger citeer?
 

09 april 2012 Een ware MacFreak!

Ook hier alles schoon.
Lion met Java, Silverlight en geen AV.

09 april 2012 Een ware MacFreak!

Bij mij ook alles schoon. Lion met Java, geen antivirus programma.


Moderator: slotje op dit draadje misschien?
Of even de begin pagina aanpassen in enkel te posten waneer er wel iets gevonden is?


(Bewerkt door boni om 15:23, 9-04-2012)

09 april 2012 MacFreak Verslaafde

Ja doe maar een slotje, ik ben namelijk ook helemaal vrij van Java en aanverwante zaken.

09 april 2012 MacFreak Verslaafde

Op de Apple Support Communities staat een scriptje om de malware te verwijderen.

http://discussions.apple.com/docs/DOC-3271

Wat opvalt: op de discussiefora van Apple staan heel wat vragen over de trojan, maar ik heb maar één vermelding van een effectieve besmetting opgemerkt. Dat vermeende aantal besmette Macs van Dr. Web lijkt dan ook zwaar overdreven.

Hier trouwens ook geen Trojan op iMac en MacBook.

09 april 2012 Een ware MacFreak!

Voor ik het vergeet, heb ook nog een belangrijke bijdrage: Naast mijn iMac heb ik nog een mac mini met Lion en Java. Hoe het daar mee gesteld is willen jullie zeker weten:
Geen Flasback Trojan aangetroffen.

Leek me belangrijk dit nog te melden.
Was nog niet genoeg gepost in dit draadje denk ik.

09 april 2012 Een ware MacFreak!

http://daringfireball.net/2012/04/flashback_eword

Citaat:
Last week, after asking Daring Fireball readers to report if they identified Macs infected with the Flashback drive-by attack and getting about a dozen or so positive responses, I wrote:

Via email and public Twitter replies, I’ve seen reports from about a dozen or so DF readers who’ve been hit by this. And they all seem like typical DF readers — sophisticated, experienced, if not downright expert Mac users. It’s not an epidemic, but it’s definitely real, and insidious.

10 april 2012 Een ware MacFreak!

@Pieterr, het lijkt misschien heel wat, maar het is echt helemaal niks! Zie dit citaat:

Citaat: Via email and public Twitter replies, I’ve seen reports from about a dozen or so DF readers who’ve been hit by this.



Ongeveer een dozijn, via Twitter, allemaal "van horen zeggen", niks direct!

Iedereen die ouder is dan 20 en met PC's heeft gewerkt, heeft persoonlijk ervaring met een virusbesmetting van een PC. Niemand heeft ervaring met virussen op OS X. Die bestaan niet. De enige malware die ik ken voor OS X, en waarvan ik de mensen ken wiens Mac's besmet zijn geweest, is de trojan die met illegale versies van iWork waren meegeleverd. Andere malware waar Mac's mee geïnfecteerd zijn geweest ken ik niet, die zijn niet buiten het lab (van de AV maker?!?!) geweest.

10 april 2012 MacFreak Verslaafde

Hier op de Blackbook, de Mac mini, de iMac en de MacbookAir allen met Java geen probleem,
Het was duidelijk weer een stuntje van een AV terrrorist.javascript:emoticon('')

10 april 2012 MacFreak Veteraan

Het heeft ons in ieder geval weer even alert gemaakt. Dat moeten we Dr Web toch nageven

Hey,

Ik had een vraagje. Er staat bij mij ook standaard geen Java op (Lion). Verder is me iMac ook niet besmet. Maar ik had toch een vraag.
Ik lees dat je de JavaVM.framework map in  /System/Library/Frameworks/ moethernoemen of verwijderen.
Deze map is hier ook aanwezig en heb ik inmiddels verwijderd. Verder stonden er ook nog 2 andere mappen, namelijk deze:

JavaFrameEmbedding.framework
JavaScriptCore.framework

Wat moet er met deze mappen gebeuren? :)

(Bewerkt door Henk09 om 13:19, 10-04-2012)

10 april 2012 Een ware MacFreak!

gewoon laten staan.
als je niet besmet bent en geen java hebt, kun je gerust verder gaan met de orde van de dag :)

10 april 2012 Een ware MacFreak!


Citaat: lutewizzard om 8:54, 10-04-2012
Het was duidelijk weer een stuntje van een AV terrrorist.javascript:emoticon('')


Dat is momenteel ook mijn conclusie!

@prionica: Je moet altijd alert zijn, ook en misschien wel juist als er geen vermeende Apple malware in het nieuws is! Zodra er malware in het nieuws is, is de kans dat malafide bedrijven er iets mee kunnen verdienen geslonken tot bijna 0.

@Henk09: JavaScript en Java zijn twee heel verschillende dingen!

Bedankt voor jullie reacties. Is nu duidelijk, ik laat ze staan.

10 april 2012 MacFreak Verslaafde

Hebben we het hier niet gewoon over een hoax?

10 april 2012 Een ware MacFreak!


Citaat: Viool om 14:12, 10-04-2012
Hebben we het hier niet gewoon over een hoax?



Dat valt nog te bezien.
Ik heb nog geen doorslaggevende bewijzen gezien die de melding van dr Web ontkrachten anders dan "op dit forum nog niemand met een besmetting tegengekomen". Ook de bewijslast van dr Web zelf is wat mij betreft nog op geen enkele manier overtuigend genoeg trouwens.

Feit is wel dat Apple in korte tijd 2 security updates uitbrengt en het botnetdomein dat DrWeb in beheer heeft (als sinkhole om alle verkeer van de beheercomputers en de getroffen Macs te analyseren en om te leiden) uit de lucht zou willen halen. Forbes en Tweakers

10 april 2012 Een ware MacFreak!

@odo:
Hoax of niet, er zijn lekken in Java gedicht, maar er is nog niet bewezen en zelfs nog niet aannemelijk gemaakt dat er een beveiligingsprobleem is geweest.

Op pagina 3 van dit draadje vertelt Peter heel duidelijk wat de stappen van lek naar schade zijn:


Citaat: Peter Villevoye om 12:55, 7-04-2012
Er zijn 5 stappen om van "lek" naar "schade" te gaan:
1. Lek (daar heeft iedere software wel eens last van)
2. Proof of Concept (ten idee om het lek te gebruiken)
3. Exploit (een daadwerkelijk werkend stukje software)
4. Virus (het succesvol, ongemerkt verspreiden ervan)
5. Schade (virus/malware doet zijn schadelijke taak)

Bij de meeste lekken en zelfs proofs en exploits laat
Apple zelden van zich horen. Deze malware is best ver
gekomen en we zien dan ook dat Apple snel reageert !
De schade is gering. Ik maak me geen zorgen (meer).



Verder dan exploit is het hier niet gekomen, de enige "schade" die er mogelijk heeft plaatsgevonden, was in het lab van een AV maker! Die ruikt handel, en die hoopt hij op gang te brengen middels FUD...

10 april 2012 Een ware MacFreak!

Dat ontken ik ook niet. Schadegevallen zijn inderdaad nog nergens overtuigend aangetoond, maar dat betekent nog niet dat ze er niet zijn.

Maar dat dr Web alleen op handel uit is klopt niet:

Doctor Web recommends Mac users to download and install a security update released by Apple from support.apple.com/kb/HT5228 to prevent infection of their systems by BackDoor.Flashback.39.

Wel op exposure natuurlijk, maar wie is dat niet.

Op MacRumors zojuist weer een nieuw bericht hierover trouwens.

(Bewerkt door odo om 17:29, 10-04-2012)

10 april 2012 Een ware MacFreak!

Nergens iets gevonden of aanwezig op macbookpro, imac, macpro...

11 april 2012 Een ware MacFreak!

Hoax of niet Apple neemt het in ieder geval serieus. Ze komen nu met een eigen tool om de Trojan op te sporen en te verwijderen. Bron Appleinsider en hier de inhoud van het supportdocument van Apple:

A recent version of malicious software called Flashback exploits a security flaw in Java in order to install itself on Macs.

Apple released a Java update on April 3, 2012 that fixes the Java security flaw for systems running OS X v10.7 and Mac OS X v10.6. By default, your Mac automatically checks for software updates every week, but you can change that setting in Software Update preferences. You can also run Software Update at any time to manually check for the latest updates.

Apple is developing software that will detect and remove the Flashback malware.

In addition to the Java vulnerability, the Flashback malware relies on computer servers hosted by the malware authors to perform many of its critical functions. Apple is working with ISPs worldwide to disable this command and control network.
Additional Information
For Macs running Mac OS X v10.5 or earlier, you can better protect yourself from this malware by disabling Java in your web browser(s) preferences.

11 april 2012 Een ware MacFreak!


Citaat: MacFrankie om 16:10, 10-04-2012
@odo:
Hoax of niet, er zijn lekken in Java gedicht, maar er is nog niet bewezen en zelfs nog niet aannemelijk gemaakt dat er een beveiligingsprobleem is geweest.
...
De enige "schade" die er mogelijk heeft plaatsgevonden, was in het lab van een AV maker! Die ruikt handel, en die hoopt hij op gang te brengen middels FUD...



Apple heeft inmiddels zelf duidelijk gemaakt dat er wel degelijk serieus sprake is van malware.

http://support.apple.com/kb/HT5244?viewlocale=en_US&locale=en_US

11 april 2012 Een ware MacFreak!

@Pieterr:
Het is ook malware, dat ontken ik niet! Het heeft het stadium van Exploit bereikt (van het overzicht van Peter op pagina 3, welke ik op pagina 9 herhaald heb)!

Het is natuurlijk goed dat Apple het probleem snel gefixt heeft. Dat is Apple zijn gebruikers ook verplicht.

Maar wat DrWeb doet, en wat de hele wereld klakkeloos kopieert (en vaak aandikt, wat Tweakers doet), is FUD verspreiden. 600.000 PC's besmetten was in het Windows XP tijdperk al een hele opgave, dus zoveel besmette Mac's... ik geloof er geen z@k van!

Ik blijf bij mijn eerdere conclusie: geen nieuws maar FUD, genereren van traffic en liefst omzet (AV pakketten).

11 april 2012 MacFreak Verslaafde

Toch nog even voor alle duidelijkheid, want in de enorme brei nieuws is dat me nog steeds niet helemaal duidelijk geworden: het klopt toch dat, om de malware op een systeem te krijgen:
1) gebruiker 10.6 of eerder moet draaien
2) inclusief Java
3) malafide website bezoeken
4) met java aan in de gebruikte webbrowser
5) de gebruiker vervolgens z'n beheerder wachtwoord moet invullen als er om gevraagd wordt

Of was stap 5 toch niet nodig?

11 april 2012 Een ware MacFreak!

@mattiman: Voor de details: KLIK.

11 april 2012 MacFreak Verslaafde

@Pieter: die had ik gelezen, maar echt duidelijk is het niet. Misschien omdat bepaalde woorden onduidelijk zijn (zoals "Trojan-Downloader:OSX/Flashback.I is dropped by malicious Java applets that ..". Wat is "dropped?)

Wat ik wel uit dat verhaal begrijp is dat er pas "infectie" optreedt nadat een administrator password ingevoerd wordt in een popup. Maar is dat een "officieel" systeem venster of iets dat er op lijkt?

Overigens is dat computer veiligheidsles no1 die ik aan alle familieleden of anderen geef: nooit zomaar op dingen klikken en/of een wachtwoord invullen (herhaal 3x)

11 april 2012 Een ware MacFreak!

Het jammere van deze malware is dat er (potentieel) rottigheid wordt uitgehaald ook als je niet je wachtwoord ingevoerd hebt. Zie onderaan de eerder gegeven link.

De tip om goed op te letten wanneer je zomaar gevraagd wordt een Administrator password in te voeren blijft natuurlijk een goede tip.

11 april 2012 MacFreak Verslaafde

Ah, ok. Dus in bepaalde gevallen is alléén het bezoeken van een bepaalde site al voldoende om de malware op je computer te krijgen. Dat is dan wel kwalijk.

Mijn Complimenten aan de MacFreak redactie !!!

Hiermee is de kritische noot die ik eerder maakte voor mij in ieder geval flink gecompenseerd: Mac ers zijn zich er nu van bewust (wel of niet geloven doet er eigenlijk niet toe).
Het was zeker niet de bedoeling op hard werkende tenen te gaan staan.

Malware aantonen?

Er is kennelijk nog een openstaand misverstand over het bewijzen of aantonen van een infectie met afbeeldingen en omgekeerde bewijslast; als je het niet ziet of hebt gevonden, danwel hebt gescreenshoot(edtt), bestaat het niet. Lijkt me een beetje buiten de werkelijkheid, dat gaat niet over wel of niet geloven, ook de wetenschap is een dergelijke stellingname allang voorbij).

Anyway;

Gelukkig is er ook (of misschien wel juist) op "non-Mac" sites erg goede info te vinden, met up-to-date en echt relevante informatie, dan weet je dat de malware nu ook zonder interface haar werk doet (versies genoeg).
Was natuurlijk ook wel erg dom van de makers om eerder een installatiescherm te tonen (afdeling kinderziekten zullen we maar zeggen, wachtwoord is nu echt niet meer nodig).
- AlienVault Labs : http://labs.alienvault.com/labs/
- F-Secure: http://www.f-secure.com/en/web/labs_global/labs-blog ,
http://www.f-secure.com/en/web/labs_global/threats/descriptions
- Kaspersky , o.a. http://www.securelist.com/en/

Hier lees je ook welke varianten van bijv. de flashback malware er zijn en hoe handmatig te controleren, want het kan namelijk ook in iets anders dan je browser zitten.
Prijsvraag na bestudering bovenstaande sites: en hoe weet je dat het update venster van Apple met het update icon niet besmet is (the little one), bij mij was dat namelijk de trigger op twee werkstations. Voor leopard zijn er eigenlijk geen updates op reguliere basis, updates haalde ik dus gewoon rechtstreeks van de apple.com/support/download sectie.
Misschien wel een beter idee om dat te doen.

Gratis ! :
Security guides van Apple zelf - bronmateriaal voor veel webartikelen of boeken

http://www.apple.com/support/security/guides/

Leopard security manual : http://images.apple.com/support/security/guides/docs/Leopard_Security_Config_2nd_Ed.pdf

Snow Leopard Security Manual : http://images.apple.com/support/security/guides/docs/SnowLeopard_Security_Config_v10.6.pdf

De Lion variant lijkt verdeelt over diverse artikelen, maar misschien keek ik eroverheen ( ;-)

Ook niets mis mee om te lezen, ook al is het niet voor de mac, of je kritisch bent of leest beslis je zelf :
- security.nl
- webwereld.nl

Leopard en Tiger - Left alone :

Ja dat is erg jammer en juist deze groep is het meest kwetsbaar omdat je geen updates meer krijgt. Er moet toch nog een procentje of 15 met deze systemen draaien. Geen idee hoe de verdeling hier is (nog niet naar "draadjes" gekeken, dat zijn er nogal wat).
Misschien een idee eens e.e.a. hiervoor te bundelen : elders wil nog wel eens belangrijke info ontbreken (adverteerders / websitemakers houden niet van mensen die bijvoorbeeld javascript disablen), een veilige Mac voor alles!

Screenshots heb ik niet, uploaden op webruimte vind ik gedoe (geen java meer, bye bye Cyberduck, jammer toch).
Foto's heb ik wel, jubileum vandaag, precies een maand geleden, zal er een paar aan de redactie zenden, maar wat het dan bewijst?
Vooral dat er iets was, waarvan ik nog steeds niet 100% weet of het er nog is (al had ik een firewall en de handel van het internet afgehaald).

Nog een linkje dan (Little Snitch kent iedereen natuurlijk al) hier mag je voor betalen als je het wil, kies maar uit en kijk of het wat is :
http://www.hanynet.com/applications/index.html

Bye en succes

13 april 2012 Een ware MacFreak!

Vanmiddag las ik dat de Trojan-verwijdertool en beschermingsupdate van antivirus-software maker Kaspersky meer schade aan je Mac-systeem veroorzaakt dan de hele Trojan schijnbaar heeft teweeg gebracht. Beveiligings-experts die ons eerst onnodig bang maken, en vervolgens antivirus-software die je systeem verknallen !

Ik ben eens te meer overtuigd dat Apple en het MacOSX beter werken, reageren en te vertrouwen zijn dan al die vage windhandel van die louche (veelal Russische) toko's. Het lezen van de recente reacties in dit draadje en het intikken van deze reactie kostte me ook alweer pakweg 5 minuten.
Teveel aandacht voor een hoop gedoe.

Apple's Software Update kostte me één klik en nog geen 5 tellen aandacht...

Inderdaad : Stop -> Kasperky Tool heeft een zip foutje,

zie : http://www.security.nl/artikel/41103/1/Verwijdertool_Mac-malware_verwijdert_gebruikersinstellingen.html

De nieuwe tool is een paar kb groter,...

Als eerder gezegd kan je het dus beter handmatig controleren aan de hand van informatie die op de sites van de diverse beveiligings-labs te vinden is.
Want niet iedereen heeft Lion en dus wat aan de geboden steun van Apple en kan de nieuwe update installeren.

Succes

13 april 2012 Een ware MacFreak!

Peter heeft het al goed verwoordt: Apple beschermt OS X beter dan welk AV pakket dan ook! Ik weet dat ik veilig ben met mijn out-of-the-box OS X!

21 april 2012 Een ware MacFreak!

op een ander forum, waar ik frequent aanwezig ben, heeft iemand, kennelijk verantwoordelijk is voor de beveilging, melding gemaakt van 4 besmette Mac's.
Waarop ik de vraag heb gesteld of dit alleen de drive-by besmetting was of ook de pay-load.

edit:
het gaat om gebruikers die niet veel meer kunnen en/of willen dan het bedienen van het toetsenbord en de muis/trackpad.


(Bewerkt door fred44nl om 13:45, 21-04-2012)

06 april 2013 Een ware MacFreak!

Who Wrote the Flashback OS X Worm?

Citaat:
A year ago today, Apple released a software update to halt the spread of the Flashback worm, a malware strain that infected more than 650,000 Mac OS X systems using a vulnerability in Apple’s version of Java. This somewhat dismal anniversary is probably as good a time as any to publish some clues I’ve gathered over the past year that point to the real-life identity of the Flashback worm’s creator.

meer...


06 april 2013 Redactielid

Grappig om te zien dat zo'n hacker nog relatief makkelijk te achterhalen is, alleen jammer dat hij in Rusland waarschijnlijk nooit achter de tralies zal zitten...

08 april 2013 Een ware MacFreak!

Link voor de script werkt bij mij niet, opent de site niet.

Reageer

Je moet ingelogd zijn om te kunnen reageren. Als je nog geen lid bent van MacFreak kan je je hier registreren.