Op de Apple Support Communities staat een scriptje om de malware te verwijderen.

http://discussions.apple.com/docs/DOC-3271

Wat opvalt: op de discussiefora van Apple staan heel wat vragen over de trojan, maar ik heb maar één vermelding van een effectieve besmetting opgemerkt. Dat vermeende aantal besmette Macs van Dr. Web lijkt dan ook zwaar overdreven.

Hier trouwens ook geen Trojan op iMac en MacBook.

Voor ik het vergeet, heb ook nog een belangrijke bijdrage: Naast mijn iMac heb ik nog een mac mini met Lion en Java. Hoe het daar mee gesteld is willen jullie zeker weten:
Geen Flasback Trojan aangetroffen.

Leek me belangrijk dit nog te melden.
Was nog niet genoeg gepost in dit draadje denk ik.

@Pieterr, het lijkt misschien heel wat, maar het is echt helemaal niks! Zie dit citaat:

Via email and public Twitter replies, I’ve seen reports from about a dozen or so DF readers who’ve been hit by this.

Ongeveer een dozijn, via Twitter, allemaal "van horen zeggen", niks direct!

Iedereen die ouder is dan 20 en met PC's heeft gewerkt, heeft persoonlijk ervaring met een virusbesmetting van een PC. Niemand heeft ervaring met virussen op OS X. Die bestaan niet. De enige malware die ik ken voor OS X, en waarvan ik de mensen ken wiens Mac's besmet zijn geweest, is de trojan die met illegale versies van iWork waren meegeleverd. Andere malware waar Mac's mee geïnfecteerd zijn geweest ken ik niet, die zijn niet buiten het lab (van de AV maker?!?!) geweest.

Hier op de Blackbook, de Mac mini, de iMac en de MacbookAir allen met Java geen probleem,
Het was duidelijk weer een stuntje van een AV terrrorist.javascript:emoticon(':thumbs-down:')

Het heeft ons in ieder geval weer even alert gemaakt. Dat moeten we Dr Web toch nageven

Hey,

Ik had een vraagje. Er staat bij mij ook standaard geen Java op (Lion). Verder is me iMac ook niet besmet. Maar ik had toch een vraag.
Ik lees dat je de JavaVM.framework map in  /System/Library/Frameworks/ moethernoemen of verwijderen.
Deze map is hier ook aanwezig en heb ik inmiddels verwijderd. Verder stonden er ook nog 2 andere mappen, namelijk deze:

JavaFrameEmbedding.framework
JavaScriptCore.framework

Wat moet er met deze mappen gebeuren?

(Bewerkt door Henk09 om 13:19, 10-04-2012)

gewoon laten staan.
als je niet besmet bent en geen java hebt, kun je gerust verder gaan met de orde van de dag

lutewizzard om 8:54, 10-04-2012
Het was duidelijk weer een stuntje van een AV terrrorist.javascript:emoticon(':thumbs-down:')

Dat is momenteel ook mijn conclusie!

@prionica: Je moet altijd alert zijn, ook en misschien wel juist als er geen vermeende Apple malware in het nieuws is! Zodra er malware in het nieuws is, is de kans dat malafide bedrijven er iets mee kunnen verdienen geslonken tot bijna 0.

@Henk09: JavaScript en Java zijn twee heel verschillende dingen!

Bedankt voor jullie reacties. Is nu duidelijk, ik laat ze staan.

Hebben we het hier niet gewoon over een hoax?

Viool om 14:12, 10-04-2012
Hebben we het hier niet gewoon over een hoax?

Dat valt nog te bezien.
Ik heb nog geen doorslaggevende bewijzen gezien die de melding van dr Web ontkrachten anders dan "op dit forum nog niemand met een besmetting tegengekomen". Ook de bewijslast van dr Web zelf is wat mij betreft nog op geen enkele manier overtuigend genoeg trouwens.

Feit is wel dat Apple in korte tijd 2 security updates uitbrengt en het botnetdomein dat DrWeb in beheer heeft (als sinkhole om alle verkeer van de beheercomputers en de getroffen Macs te analyseren en om te leiden) uit de lucht zou willen halen. Forbes en Tweakers

@odo:
Hoax of niet, er zijn lekken in Java gedicht, maar er is nog niet bewezen en zelfs nog niet aannemelijk gemaakt dat er een beveiligingsprobleem is geweest.

Op pagina 3 van dit draadje vertelt Peter heel duidelijk wat de stappen van lek naar schade zijn:

Peter Villevoye om 12:55, 7-04-2012
Er zijn 5 stappen om van "lek" naar "schade" te gaan:
1. Lek (daar heeft iedere software wel eens last van)
2. Proof of Concept (ten idee om het lek te gebruiken)
3. Exploit (een daadwerkelijk werkend stukje software)
4. Virus (het succesvol, ongemerkt verspreiden ervan)
5. Schade (virus/malware doet zijn schadelijke taak)

Bij de meeste lekken en zelfs proofs en exploits laat
Apple zelden van zich horen. Deze malware is best ver
gekomen en we zien dan ook dat Apple snel reageert !
De schade is gering. Ik maak me geen zorgen (meer).

Verder dan exploit is het hier niet gekomen, de enige "schade" die er mogelijk heeft plaatsgevonden, was in het lab van een AV maker! Die ruikt handel, en die hoopt hij op gang te brengen middels FUD...

Dat ontken ik ook niet. Schadegevallen zijn inderdaad nog nergens overtuigend aangetoond, maar dat betekent nog niet dat ze er niet zijn.

Maar dat dr Web alleen op handel uit is klopt niet:

Doctor Web recommends Mac users to download and install a security update released by Apple from support.apple.com/kb/HT5228 to prevent infection of their systems by BackDoor.Flashback.39.

Wel op exposure natuurlijk, maar wie is dat niet.

Op MacRumors zojuist weer een nieuw bericht hierover trouwens.

(Bewerkt door odo om 17:29, 10-04-2012)

Nergens iets gevonden of aanwezig op macbookpro, imac, macpro...

Hoax of niet Apple neemt het in ieder geval serieus. Ze komen nu met een eigen tool om de Trojan op te sporen en te verwijderen. Bron Appleinsider en hier de inhoud van het supportdocument van Apple:

A recent version of malicious software called Flashback exploits a security flaw in Java in order to install itself on Macs.

Apple released a Java update on April 3, 2012 that fixes the Java security flaw for systems running OS X v10.7 and Mac OS X v10.6. By default, your Mac automatically checks for software updates every week, but you can change that setting in Software Update preferences. You can also run Software Update at any time to manually check for the latest updates.

Apple is developing software that will detect and remove the Flashback malware.

In addition to the Java vulnerability, the Flashback malware relies on computer servers hosted by the malware authors to perform many of its critical functions. Apple is working with ISPs worldwide to disable this command and control network.
Additional Information
For Macs running Mac OS X v10.5 or earlier, you can better protect yourself from this malware by disabling Java in your web browser(s) preferences.

MacFrankie om 16:10, 10-04-2012
@odo:
Hoax of niet, er zijn lekken in Java gedicht, maar er is nog niet bewezen en zelfs nog niet aannemelijk gemaakt dat er een beveiligingsprobleem is geweest.
...
De enige "schade" die er mogelijk heeft plaatsgevonden, was in het lab van een AV maker! Die ruikt handel, en die hoopt hij op gang te brengen middels FUD...

Apple heeft inmiddels zelf duidelijk gemaakt dat er wel degelijk serieus sprake is van malware.

http://support.apple.com/kb/HT5244?viewlocale=en_US&locale=en_US

@Pieterr:
Het is ook malware, dat ontken ik niet! Het heeft het stadium van Exploit bereikt (van het overzicht van Peter op pagina 3, welke ik op pagina 9 herhaald heb)!

Het is natuurlijk goed dat Apple het probleem snel gefixt heeft. Dat is Apple zijn gebruikers ook verplicht.

Maar wat DrWeb doet, en wat de hele wereld klakkeloos kopieert (en vaak aandikt, wat Tweakers doet), is FUD verspreiden. 600.000 PC's besmetten was in het Windows XP tijdperk al een hele opgave, dus zoveel besmette Mac's... ik geloof er geen z@k van!

Ik blijf bij mijn eerdere conclusie: geen nieuws maar FUD, genereren van traffic en liefst omzet (AV pakketten).

Toch nog even voor alle duidelijkheid, want in de enorme brei nieuws is dat me nog steeds niet helemaal duidelijk geworden: het klopt toch dat, om de malware op een systeem te krijgen:
1) gebruiker 10.6 of eerder moet draaien
2) inclusief Java
3) malafide website bezoeken
4) met java aan in de gebruikte webbrowser
5) de gebruiker vervolgens z'n beheerder wachtwoord moet invullen als er om gevraagd wordt

Of was stap 5 toch niet nodig?

@mattiman: Voor de details: KLIK.

@Pieter: die had ik gelezen, maar echt duidelijk is het niet. Misschien omdat bepaalde woorden onduidelijk zijn (zoals "Trojan-Downloader:OSX/Flashback.I is dropped by malicious Java applets that ..". Wat is "dropped?)

Wat ik wel uit dat verhaal begrijp is dat er pas "infectie" optreedt nadat een administrator password ingevoerd wordt in een popup. Maar is dat een "officieel" systeem venster of iets dat er op lijkt?

Overigens is dat computer veiligheidsles no1 die ik aan alle familieleden of anderen geef: nooit zomaar op dingen klikken en/of een wachtwoord invullen (herhaal 3x)

Het jammere van deze malware is dat er (potentieel) rottigheid wordt uitgehaald ook als je niet je wachtwoord ingevoerd hebt. Zie onderaan de eerder gegeven link.

De tip om goed op te letten wanneer je zomaar gevraagd wordt een Administrator password in te voeren blijft natuurlijk een goede tip.

Ah, ok. Dus in bepaalde gevallen is alléén het bezoeken van een bepaalde site al voldoende om de malware op je computer te krijgen. Dat is dan wel kwalijk.

Mijn Complimenten aan de MacFreak redactie !!!

Hiermee is de kritische noot die ik eerder maakte voor mij in ieder geval flink gecompenseerd: Mac ers zijn zich er nu van bewust (wel of niet geloven doet er eigenlijk niet toe).
Het was zeker niet de bedoeling op hard werkende tenen te gaan staan.

Malware aantonen?

Er is kennelijk nog een openstaand misverstand over het bewijzen of aantonen van een infectie met afbeeldingen en omgekeerde bewijslast; als je het niet ziet of hebt gevonden, danwel hebt gescreenshoot(edtt), bestaat het niet. Lijkt me een beetje buiten de werkelijkheid, dat gaat niet over wel of niet geloven, ook de wetenschap is een dergelijke stellingname allang voorbij).

Anyway;

Gelukkig is er ook (of misschien wel juist) op "non-Mac" sites erg goede info te vinden, met up-to-date en echt relevante informatie, dan weet je dat de malware nu ook zonder interface haar werk doet (versies genoeg).
Was natuurlijk ook wel erg dom van de makers om eerder een installatiescherm te tonen (afdeling kinderziekten zullen we maar zeggen, wachtwoord is nu echt niet meer nodig).
- AlienVault Labs : http://labs.alienvault.com/labs/
- F-Secure: http://www.f-secure.com/en/web/labs_global/labs-blog ,
http://www.f-secure.com/en/web/labs_global/threats/descriptions
- Kaspersky , o.a.   http://www.securelist.com/en/

Hier lees je ook welke varianten van bijv. de flashback malware er zijn en hoe handmatig te controleren, want het kan namelijk ook in iets anders dan je browser zitten.
Prijsvraag na bestudering bovenstaande sites: en hoe weet je dat het update venster van Apple met het update icon niet besmet is (the little one), bij mij was dat namelijk de trigger op twee werkstations. Voor leopard zijn er eigenlijk geen updates op reguliere basis, updates haalde ik dus gewoon rechtstreeks van de apple.com/support/download sectie.
Misschien wel een beter idee om dat te doen.

Gratis ! :
Security guides van Apple zelf - bronmateriaal voor veel webartikelen of boeken

http://www.apple.com/support/security/guides/  

Leopard security manual : http://images.apple.com/support/security/guides/docs/Leopard_Security_Config_2nd_Ed.pdf

Snow Leopard Security Manual : http://images.apple.com/support/security/guides/docs/SnowLeopard_Security_Config_v10.6.pdf

De Lion variant lijkt verdeelt over diverse artikelen, maar misschien keek ik eroverheen (

Ook niets mis mee om te lezen, ook al is het niet voor de mac, of je kritisch bent of leest beslis je zelf :
- security.nl
- webwereld.nl

Leopard en Tiger - Left alone :

Ja dat is erg jammer en juist deze groep is het meest kwetsbaar omdat je geen updates meer krijgt. Er moet toch nog een procentje of 15 met deze systemen draaien. Geen idee hoe de verdeling hier is (nog niet naar "draadjes" gekeken, dat zijn er nogal wat).
Misschien een idee eens e.e.a. hiervoor te bundelen : elders wil nog wel eens belangrijke info ontbreken (adverteerders / websitemakers houden niet van mensen die bijvoorbeeld javascript disablen), een veilige Mac voor alles!

Screenshots heb ik niet, uploaden op webruimte vind ik gedoe (geen java meer, bye bye Cyberduck, jammer toch).
Foto's heb ik wel, jubileum vandaag, precies een maand geleden, zal er een paar aan de redactie zenden, maar wat het dan bewijst?
Vooral dat er iets was, waarvan ik nog steeds niet 100% weet of het er nog is (al had ik een firewall en de handel van het internet afgehaald).

Nog een linkje dan (Little Snitch kent iedereen natuurlijk al) hier mag je voor betalen als je het wil, kies maar uit en kijk of het wat is :
http://www.hanynet.com/applications/index.html

Bye en succes

Vanmiddag las ik dat de Trojan-verwijdertool en beschermingsupdate van antivirus-software maker Kaspersky meer schade aan je Mac-systeem veroorzaakt dan de hele Trojan schijnbaar heeft teweeg gebracht. Beveiligings-experts die ons eerst onnodig bang maken, en vervolgens antivirus-software die je systeem verknallen !

Ik ben eens te meer overtuigd dat Apple en het MacOSX beter werken, reageren en te vertrouwen zijn dan al die vage windhandel van die louche (veelal Russische) toko's. Het lezen van de recente reacties in dit draadje en het intikken van deze reactie kostte me ook alweer pakweg 5 minuten.
Teveel aandacht voor een hoop gedoe.

Apple's Software Update kostte me één klik en nog geen 5 tellen aandacht...