[img=right]http://images.google.nl/images?q=tbn:Cpqi5WFSpckJ:images.tvnz.co.nz/news/technology_communications/computer_virus_290.jpg[/img]Door een bevriende PC-gebruiker werd ik gewezen op dit artikel op MacIntouch.

Naar aanleiding van een langzame computer is deze gebruiker is verder gaan kijken. Na onderzoek bleek dat zijn  logfiles allemaal op dezelfde datum en tijd aangepast waren, dat er een process genaamd "john" veel processorkracht gebruikte, en dat er een item genaamd "opener" in /Library/Startupitems/ staat. Ook was er een onzichtbare map genaamd .info aangemaakt in de Public map van elke gebruiker.


Onderzoek door MacIntouch gebruikers wijst erop dat er hier 2 dingen aan de hand zijn: ten eerste verwijst het process "john" naar alle waarschijnlijkheid naar John the Ripper. In de Unix wereld blijkbaar een bekende password-sniffer om te testen hoe sterk een wachtwoord is.
Ten tweede word er verwezen naar een artikel op Macintosh Underground waar een discussie aan de gang is over een script genaamd "opener".

I've looked through the latest version of the script available online (2.3.8 it looks like), and here's a brief rundown about everything that this script does...
Opener tries to install ohphoneX, a teleconferencing program - for spying on you through your webcam I'm sure.

It kills LittleSnitch before every Internet connection it makes
It installs a keystroke recorder
Allows backdoor access in case someone deletes the hidden account
Grabs the open-firmware password
Installs OSXvnc
Grabs your office 2004 PID (serial number), as well as serial numbers for Mac OS XServer, adobe registrations, VirtualPC 6, Final Cut Pro, LittleSnitch, Apple Pro Apps, your DynDNS account, Timbuk2, and webserver users to name a few.
It tries to decrypts all the MD5 encrypted user passwords
Decrypts all users keychains.
Grabs your AIM logs, and tons of other settings and preferences with info you probably don't want folks to have... even your bash (terminal) history
Grabs stuff from your Classic preferences
Changes your Limewire settings to max out your upload and files.
The hidden user account is called LDAP-daemon instead of the name hacker used in earlier versions. Looks more innocent than hacker.
Even has your daily cron task try to get your password from the virtual memory swapfile
It installs an app called John The Ripper - a password cracker that uses a dictionary method to crack passwords
installs dsniff to sniff for passwords...

Het feit dat zo'n script bestaat baart mij als Mac OS X gebruiker grote zorgen, en niet geheel onterecht lijkt me. Toch komen er bij de discussie ook een aantal belangrijke vragen naar boven, waarvan niet de minst belangrijke: hoe is het op de computer gekomen? Alhoewel er zoveel mogelijk gebruik wordt gemaakt van processen en zwakheden waar geen rootwachtwoord voor nodig is, moet de eerste installatie van "opener" toch gebeuren middels een admin naam en wachtwoord, of vanaf een externe schijf of CD.

Recapitulerend: het is nog niet helemaal duidelijk wat er gebeurd is, maar in theorie kan dit heel gevaarlijk zijn. We houden het in de gaten. Overigens kunnen we hier het volgende over zeggen: het is nog niet duidelijk of dit een broodje aap is of niet. De verhalen op de achtergrond over John the Ripper en het opener-script lijken legitiem. Echter er is nog NIKS bekend over manieren van distributie. Op dit moment is er dus geen officieel virus bekend.

Mocht je last hebben van eerder vermelde symtomen dan kan je kijken of je in hetzelfde schuitje zit: open de terminal, en tik het volgende commando in:

sudo ls -l /Users/*/Public/.info

Let op: gebruik het sudo commando alleen als je weet wat het allemaal kan c.q. doet.

Als je als antwoord "No such file or directory krijgt", dan zit je goed. Zo niet... dan hebben we iets om uit te zoeken!

*sigh* alweer is dit _geen_ zwakheid in OS X, maar in de gebruiker, die zomaar software installeert. Het systeem kan niets doen aan aanvallen van binnenuit, logischerwijs

Hmmmmz, Reflex. Niet met je eens.

Ten eerste: als je alle reacties leest dan zijn er wel degelijk een aantal dingen mogelijk door "zwakheden" mbt bevoegdheden.

Ten tweede: het lijkt me een eitje om dit in een programma te stoppen... Je hoeft alleen maar te zorgen dat de gebruiker een Admin wachtwoord opgeeft. Dus dat heeft niks met "zomaar" software installeren te maken.

Ten derde. Alweer? Hoezo alweer... Zomaar programma's installeren? Welke programma's? Waar komt het vandaan?

Ach Apple zou een precies log moeten geven van alles
wat er gebeurd. Dit zou je aan kunnen zetten als je iets
niet vertrouwd. Dan kun je meteen op stop drukken als
het niet goed is.

Ik ben het wel met Reflex eens. Kijk maar even, ik weet
niet zeker of ik het goed heb gelezen, maar als het goed
moet je het script zelf installeren, dus zo erg is het nog
allemaal niet.

Ik ben geen zwartkijker, maar het zal enkel maar erger worden. Of geloven jullie werkelijk dat MacOS X onaantastbaar is ?  

Last login: Sat Oct 23 13:55:10 on console
Welcome to Darwin!
powerbook:~ gernijkamp$ $sudo ls -l /users/*/Public/.info
ls: /users/*/Public/.info: No such file or directory
powerbook:~ gernijkamp$



Gelukkig, niks aan de hand hier... Natuurlijk wordt het erger..! Over drie jaar heeft Apple een marktaandeel van 8% (met dank aan de instroom via de iPod die dan ook gekoppeld is aan iPhoto en iPhoto gaat Apple niet voor de PC maken). En 8% marktaandeel betekent ook dat er een groter deel virusmakers mee zal switchen. Het gaat dus erger worden.

[ Ger ]

als je dat dollar teken weg laat dan vraagt hij password.
is dat normaal ?

Heb geen verstand van de terminal enzo maar ik krijg dit te zien als ik het comando wat ik overgenomen heb er op los laat:

Undefined variable.

Is dat goed ? is dat slecht? Of doe ik iets fout?

Misschien moet je users veranderen naar Gebruikers als je een Nederlandse versie van Mac OS X hebt.
Ik zelf ben niet zo bang, ik heb niks geïnstalleerd waar ik administrator toestemming voor heb gegeven.

Als ik $sudo ls -l /users/*/Public/.info intype in de terminal krijg ik: tcsh: sudo: Undefined variable. Geen idee waarom het niet werkt.

Appleidee om 20:02, 23-10-2004
Ach Apple zou een precies log moeten geven van alles
wat er gebeurd. Dit zou je aan kunnen zetten als je iets
niet vertrouwd. Dan kun je meteen op stop drukken als
het niet goed is.

Ik ben het wel met Reflex eens. Kijk maar even, ik weet
niet zeker of ik het goed heb gelezen, maar als het goed
moet je het script zelf installeren, dus zo erg is het nog
allemaal niet.

Jullie snappen niet wat MacFanGuy bedoelt, het is wel degelijk verontrustend. Onlangs een programma geïnstalleerd, waar die worm geëmbedded is? En waar je niets vermoedend toestemming door je admin wachtwoord in te tikken?  

Wordt het al door een antivirus herkent?  

je kan 't beste ff  "copy & paste" doen van die commandoregel-heb zelf ook weinig verstand/ervaring met werken  met de terminal,maar je moet hier en daar de spatietoets gebruiken en dus niet alles maar aansluitend typen.

No such file or directory

@leonardo61: ik heb copy/paste gedaan maar werkt om de een of andere reden niet.

@Macsterdam:Heb je deze gedaan     $sudo ls -l /users/*/Public/.info   en dan de 'entertoets'?

Bij mij werkt(e) 't zo prima.

leonardo61 om 20:54, 23-10-2004
@Macsterdam:Heb je deze gedaan     $sudo ls -l /users/*/Public/.info   en dan de 'entertoets'?

Bij mij werkt(e) 't zo prima.

werkt hier ook niet  

dit krijg ik:

Last login: Sat Oct 23 20:52:47 on ttyp1
Welcome to Darwin!
[Corne:~] corne% $sudo ls -l /users/*/Public/.info
tcsh: sudo: Undefined variable.
[Corne:~] corne%



(Bewerkt door Qorne om 20:59, 23-10-2004)

of is dit een broodje aap

Ik heb overwogen of het een broodje aap is... Het zou best kunnen dat de gebruiker die programma's zelf getest heeft, of weet ik veel wat.

Dat het echt een virus is betwijfel ik, daarom heb ik dat bewust uit de titel gelaten.

Echter: John de ripper bestaat, en dat opener script ook. Dat op zich vond ik al verontrustend genoeg om er een  bericht aan te wijden.

Aan de mensen die "undefined variable" krijgen. Jullie hebben wel het volledige BSD systeem geïnstalleerd bij de installatie van Panther?

Met betrekking tot het log: de logs van Apple zijn behoorlijk uitgebreid. Echter de logs worden bij installatie van dat opener script bewerkt, zodat niet meer te achterhalen is wat er gebeurd is...

Je moet het zonder het dollarteken intypen:

sudo ls -l /users/*/Public/.info


Het dollarteken hoort bij de prompt.


- Koen.

Voor iedereen die de undefined variable melding krijgt:

Als je de voorbeeld regel kopieert, kopieer dan niet het dollarteken dat vooraan staat! (Dat is de prompt en geen deel van een commando!) In een aantal shells (waaronder de tsch) definieer je een variabele naam door een $ gevolgd door een willekeurige string. Vandaar de foutmelding: De variabele $sudo wordt niet herkend.

Enig voorbehoud op het bovenstaande is dat op mijn machine het commando ook werkt met een $ ervoor. Dat snap ik niet.

En voor Roeland Lutters: Na een "sudo" commando moet je het administrator/root/superuser wachtwoord geven. Dus dat is normaal. "sudo" betekent superuser-do, of wel voer het commando dat op deze regel staat uit als superuser. In dit geval wordt het commando "ls"uitgevoerd als superuser, om bij iedere user te kijken of het bestand .info bestaat.

Dus type in:
sudo ls -l /users/*/Public/.info

iJoos blijkt iets eerder te hebben geantwoord dan ik Twee keer dezelfde uitleg.

(Bewerkt door constantin om 21:47, 23-10-2004)

Onder andere het feit dat sudo 5 minuten actief blijft nadat je het hebt ingetikt...

Okee, wellicht is SUDO in dit geval niet het slimste om als advies te geven.

Ik zal de eerste post aanpassen.

zie ook: http://forums.macnn.com/showthread.php?s=&threadid=232745

Argh.

As several others have said in this thread, this is NOT a virus.

It's a freaking SHELL SCRIPT that needs admin or root access to even install!

It has NO vector of spread, NO method of remote infection, NO way to propagate.

It is a UNIX script that needs to be MANUALLY INSTALLED by someone with admin, root, or physical access to the machine.

Though this script tries to do nifty/nasty things specifically with OS X, it is no more of a piece of malware than this:

#!/bin/sh
sudo rm -rf /

There. A new "virus" that erases your whole drive when run!! OMG!!!

Jeez. Of course, there will be some super-sensationalized article now from some media outlet talking about how there's a new Super-Duper Dangerous Worm for Mac OS X...

Could something like this be installed by a trojan, such as a malicious installer masquerading as something else that prompts for admin privileges during the install? Sure. Would people find out about it in a heartbeat if anything like that ever happened? Yes. Would there be any mechanism or method of automated spread or infection? Nope.

This is *NOT* a virus. It's not even a trojan! A "trojan" is an app that masquerades as one thing, but actually does another (e.g., an app that *installed* this code would be a trojan). But the script itself isn't even that! Technically, I suppose you could call it "malware", whose loose definition is any software that does something undesirable. But then, it's only malware when it's applied and actually in the wild. The one guy who claims to have found this thing on his computer probably had it put there manually by someone else.

In short: this is NOT a virus, and NOT a trojan. It is a UNIX shell script that, when installed, tries to do some bad things. But it needs to be MANUALLY installed (or installed secretly by SOME OTHER PROGRAM WITH ADMIN ACCESS, which itself would be a trojan). But you folks need to understand that no matter what, if there is no mechanism or vector for automated propagation, even the nastiest thing someone can dream up will never rise to the level of of even the most benign viruses and worms on Windows, period.

Helemaal mee eens...

Natuurlijk ook even geprobeerd...
dit krijg ik te zien na het intypen van de regel:

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these two things:

       #1) Respect the privacy of others.
       #2) Think before you type.

Password:

Dat je je wachtwoord moet ingeven snap ik, maar op deze manier heb ik het nog nooit gezien!! Is dit gebruikelijk?

Bij is het dit commando: sudo ls -l /users/+Public/.info

dsu zonder / tussen + en Public. Daarna je pw invoeren.

Anders krijg ik dit: supertib% sudo ls -l /users/+/Public/.info
tcsh: sudo: No match.