[img=right]http://www.macfreak.nl/base/data/news/images/virus.jpg[/img]De afgelopen dagen werden Mac-gebruikers plotseling opgeschrikt door het nieuws dat er meer dan een half miljoen Macs wereldwijd de BackDoor.Flashback Trojan geïnstalleerd zouden hebben, en veel mensen vragen zich af wat dit nu inhoudt.

Heb je Java op je Mac staan?

De BackDoor.Flashback Trojan werkt alleen op Mac waar Java op staat geïnstalleerd. Daarom is het de moeite om te vermelden dat Java bij OS X 10.7/Lion standaard niet meegeleverd is, en als je het zelf niet hebt geïnstalleerd je het dus ook helemaal niet op je Mac hebt staan.

Weet je niet zeker of je Java op je Mac hebt staan, dan kan je in het programma Terminal het volgende commando invoeren gevolgd door de Return-toets:

java -version

Als je Java op je Mac hebt staan dan zal het versienummer verschijnen, bijvoorbeeld zoals hieronder:

java version "1.6.0_31"
Java(TM) SE Runtime Environment (build 1.6.0_31-b04-413-11M3623)
Java HotSpot(TM) 64-Bit Server VM (build 20.6-b01-413, mixed mode)

Staat de BackDoor.Flashback Trojan op je Mac?

Waarschijnlijk vinden veel van ons het veel belangrijker om meteen te weten of ze deze Trojan op hun Mac hebben staan. Dat kan je eenvoudig nakijken door deze AppleScripts naar binnen te halen. Als je die opstart en je krijgt te zien wat je hieronder ziet, dan heb je de Trojan niet op je Mac staan.

Hoe verwijder ik deze Trojan?

Mocht je bovenstaande controle hebben uitgevoerd en blijkt dat de BackDoor.Flashback Trojan op je Mac staat, dan kan je met de uitleg op deze pagina er voor zorgen dat je er weer vanaf komt.

Hoe bescherm ik me tegen deze Trojan?

Deze Trojan installeert alleen maar op Macs waar Java op staat, en Java is (samen met Flash) het platform waar de meeste malware voor wordt verspreid, dus Java van je Mac verwijderen lijkt geen slecht idee.

Wil je je alleen beschermen tegen deze Trojan? Als je het programma Little Snitch, Xcode, VirusBarrier X6, iAntiVirus, Avast!, ClamXav, HTTPScoop of Packet Peeper op je Mac hebt staan dan ben je sowieso immuun.

Wil je Java verwijderen?

Wil je door al dit gedoe Java het liefst van je Mac verwijderen dan kan je met Spotlight zoeken terwijl je de Systeembestanden ook meeneemt, maar het makkelijkst is waarschijnlijk om /System/Library/Frameworks/JavaVM.framework te hernoemen of te verwijderen.

Als je dan

java -version
in Terminal invoert gevolgd door een Return zal je zien dat je dan als resultaat krijgt:

java: command not found

Is er nu echt een probeem?

Dat is waarschijnlijk de grootste vraag, er hebben al een heleboel mensen over deze Trojan op ons forum gereageerd, maar ik heb volgens mij nog niemand gezien die de Trojan ook echt op zijn of haar Mac heeft staan.

Het nieuws dat deze Trojan meer dan een half miljoen Macs besmet heeft komt van de Russische anti-virus maker Dr. Web, en in het verleden hebben dit soort fabrikanten zich nog wel eens schuldig gemaakt aan het erg overdreven weergeven feiten terwijl er achteraf weinig of niets aan de hand was.

We zouden dan graag ook van jullie horen of jullie deze Trojan op je Mac hebben aangetroffen.

Mochten we nog meer te melden hebben over deze Trojan, dan zullen we het aan dit nieuwsbericht toevoegen.
 

Nope, geen trojan aangetroffen (zonder dat één van de genoemde anti-virus pakketten zijn geïnstalleerd).

[ Ger ]

Ik had ook al op Twitter gevraagd of er mensen waren die deze Trojan al 'life' hebben aangetroffen. Niemand tot op heden. Ik vraag me dan ook inmiddels sterk af of dit geen storm in een glas water is, georkestreerd door een Antivirus bouwer en/of de MS-lobby.

Ja, dat vraag ik mij ook af.

En zelfs op Macfora (zoals MacRumors) in landen waar de Trojan meer Macs zou hebben besmet, vind ik niemand die een besmette Mac heeft...

Geen Trojan (ook geen virusscanner in gebruik)
Wat ben ik toch blij met mijn   tje

Denk inderdaad dat dit eerder een HOAX is.

  MacFreak voor het doorgeven van dit scriptje. Controle wordt zo wel erg gemakkelijk. Enne, helemaal schoon!  

Geen Trojan op 3 geteste Mac's in huis, allemaal met Java nochtans.

Ik zou het bijna zelf vergeten te melden, maar ik heb ook niks gevonden (Lion met Java, maar ook met Little Snitch).

@ Ger: het lijstje zijn niet allemaal anti-virusprogramma's. Xcode al helemaal niet en Little Snitch controleert niet wat er in komt, maar juist wel verkeer je Mac uitgaat (en dat heb ik zelf omdat ik niet zo gediend ben van allerlei ongevraagde acties van programma's op mijn Macs).

Hoe haal je Java het best van je computer?

Ruud Ravenhorst om 11:00, 7-04-2012
Ik vraag me dan ook inmiddels sterk af of dit geen storm in een glas water is, georkestreerd door een Antivirus bouwer en/of de MS-lobby.

In een ander draadje had ik al gezegd dat het een storm in een glas water is, en het nieuws dat er veel Mac's besmet zijn, komt inderdaad van een AV maker...

Ook mijn iMac gecontroleerd - schoon. Heb er wel Java/Javascript op, anders werken Facebook en de inlog bij de bank en bij Magister (schooladministratie) slecht of niet (uitgeprobeerd).
Ook vrienden van me met een Mac hebben hun computers gecontroleerd - ook daar geen backdoor (terecht merkt Intego op dat het hier GEEN trojan betreft...).
Overigens heb ik wel Sophos geïnstalleerd (overblijfsel van mijn wantrouwen uit de Win..... periode).
Een aantal testers beveelt Sophos overigens aan als een van de beste antimalware producten, maar ik weet dat 'echte' Mac-ers dan steigeren

Met Java - wat in vele omstandigheden waarschijnlijk ( PC Banking ? ) onmisbaar is.

Geen Trojannetje. Machine zo clean als wat.

Ik begin ook te gelegen dat het een flinke promotie-stunt is. De besmette Mac-gebruikers zijn zeker van die techy nerd types die het leuk vinden om hackers uit te dagen of zo...

@Dutch Viking en DirtyMay: Java is niet zo onmisbaar hoor, anders had Apple het niet weggelaten uit Lion...
De overeenkomst tussen Java en JavaScript houdt op bij de naam, het zijn twee compleet verschillende dingen. JavaScript is inderdaad redelijk onmisbaar.

Alvinus om 11:51, 7-04-2012
Hoe haal je Java het best van je computer?

Java helemaal verwijderen is niet echt makkelijk. Je kan met Spotlight zoeken terwijl je de Systeembestanden ook meeneemt, maar het makkelijkst is waarschijnlijk om /System/Library/Frameworks/JavaVM.framework te hernoemen of te verwijderen.

(ik heb dit ook even aan het nieuwsbericht toegevoegd).

Ruud Ravenhorst om 11:14, 7-04-2012
En zelfs op Macfora (zoals MacRumors) in landen waar de Trojan meer Macs zou hebben besmet, vind ik niemand die een besmette Mac heeft...

Toch zijn er wel mensen in de US die melden dat ze geraakt zijn.

The Loop - Instructions to see if you’ve been infected with the Flashback malware (via TUAW)

John Welch

five infections out of about 60 machines checked. around 200 total on my network. Been seeing symptoms for two weeks, just didn't have the info to realize what it was.

John C. Welch is, among other things, the head of IT for The Zimmerman Agency, (http://www.zimmerman.com/), one of the three...cabarellos...behind Angry Mac Bastards (http://angrymacbastards.blogspot.com/), a contributor to Macworld.com, (http://www.macworld.com/), and a member of the steering committee for MacEnterprise.org (http://macenterprise.org/).

Maar als die Trojan dan toch zo onschuldig was, waarom
doet Apple dan zo twee keer kort na elkaar een Java-update ?

Was er in Cupertino ook onnodige paniek ?
Of tonen ze hiermee dat ze alert zijn ?

Pieter illustreert dat er toch echt mensen waren die geïnfecteerd waren, en ik denk dat Apple hier inderdaad redelijk alert gereageerd heeft.

Hier geen trojans.

 OSX 10.6.8



   Henk

Bedankt trouwens voor deze post. Gelukkig niets aan de hand bij mij, maar krijg graag bevestiging want we zijn een keer aan de beurt.

MacWorld: Security experts: 600,000-plus estimate of Mac botnet likely on target.

MacWorld: What you need to know about the Flashback trojan - We’ve entered a new era in Mac security, but there’s no need to panic.

Toch even een citaat uit dat eerste artikel, Pieterr:

“We are not sure that all 500K [of the Flashback bots] are Mac users,” said Aleks Gostov, a chief security expert with Kaspersky, in a message on Twitter on Thursday. “I have some suspicions that probably bots for Windows [are] also present.”

Gostov seemed to base his opinion on the fact that Windows machines provide a GUID (globally unique identifier), Microsoft’s implementation of the UUID standard. If Doctor Web wasn’t able to correctly parse the hexadecimal string that represents the GUID/UUID, the Russian firm may have counted Windows PCs among the 600,000-plus it thinks are Mac machines.

Er zijn 5 stappen om van "lek" naar "schade" te gaan:
1. Lek (daar heeft iedere software wel eens last van)
2. Proof of Concept (ten idee om het lek te gebruiken)
3. Exploit (een daadwerkelijk werkend stukje software)
4. Virus (het succesvol, ongemerkt verspreiden ervan)
5. Schade (virus/malware doet zijn schadelijke taak)

Bij de meeste lekken en zelfs proofs en exploits laat
Apple zelden van zich horen. Deze malware is best ver
gekomen en we zien dan ook dat Apple snel reageert !
De schade is gering. Ik maak me geen zorgen (meer).

Waarbij twee opmerkingen bij de opsomming van Peter: het gaat hier nietom een virus maar om een Trojan (hij vermenigvuldigd in installeert zichzelf dus niet) en schade kan hier alleen maar optreden bij nieuwe Mac (= met Lion) waarop de gebruiker er zelf voor heeft gekozen om Java te installeren.

Macs zoals Apple ze levert kunnen dus geen schade oplopen, dat kan alleen als de gebruiker beslist dat hij/zij er Java op wilt installeren. Lijkt me een belangrijke nuance...