[img=right]http://www.macfreak.nl/base/data/news/images/virus.jpg[/img]We hebben het al eerder gehad over de malware MAC Defender/Mac Defender, in het meest recente nieuwsbericht daarover verwijzen we ook naar het support document van Apple waarin ze vertellen hoe je er ook weer vanaf kunt komen.

Inmiddels is er een gemenere versie van opgedoken, en deze heet Mac Guard. Als je deze naar binnen haalt dan zet je in feite een downloader op je harde schijf, die op zijn beurt een ander pakketje (een zogenaamde payload) van hun server afhaalt.

Als je dit met Safari doet en de optie om Veilige pakketen automatisch naar binnen te halen in de voorkeuren aan hebt staan, dan gaat dit automatisch en heeft deze malware geen wachtwoord nodig.

Wat je er wel van merkt, en waarbij hopelijk bij iedere gebruiker die zijn of haar verstand gebruikt meteen de alarmbellen af zullen gaan, is dat het Installatie-programma (Installer in het Engels) actief wordt en dat je daar wel moet bevestigen dat dit programma geïnstalleerd wordt.

Dat laatste zou volgens mij voldoende moeten zijn om iedereen onmiddellijk argwanend genoeg te maken dat je die installatie afbreekt. Maar een gewaarschuwd mens…


bron: AppleInsider

Wat ik belangrijk vind om te weten is het volgende: als deze rommel zichzelf installeert zonder wachtwoord, gebeurt dat dan alleen voor de actieve gebruiker? Dus in zijn eigen homedirectory? Of globaal voor alle gebruikers?

Is namelijk nogal een verschil. In het eerste geval is het een kwestie van 'works as designed', in het tweede geval is het een stuk gevaarlijker aangezien het zou betekenen dat 'ze' een manier gevonden hebben om Admin-verificatie te omzeilen.

In de Safari Preferences staat:

Open "safe" files after downloading

"Safe" files include movies, pictures, sounds, PDF and text documents, and disk images and other archives.

En in de Help staat:

Open “safe” files after downloading (Mac only)

If this is selected, Safari automatically opens the types of files listed, but it won’t open software programs.

AppleInsider schrijft:

No administrator's password is required to install the application, and if users have Safari's "Open 'safe' files after downloading option checked, the package will open Apple's Mac OS X installer, and users will see a standard installation screen.

Blijkbaar worden de .pkg bestanden als veilig (om direct te openen na downloaden) beschouwd. Hetgeen mij enigszins verbaast. Vermoedelijk zal Apple binnenkort de set van veilig geachte bestanden verkleinen in Safari.

Robert om 9:59, 26-05-2011
Inmiddels is er een gemenere versie van opgedoken, en deze heet Mac Guard.

Zoeken op MacGuard leverde dit nieuwsitem uit de oude doos. De titel staat nog steeds.
http://www.macfreak.nl/readnews.php?newsitem=6614

davidem om 10:24, 26-05-2011 het zou betekenen dat 'ze' een manier gevonden hebben om Admin-verificatie te omzeilen.

Ik denk dat dit alleen geldt wanneer je bent ingelogd met admin rechten. Ik ga dat niet verder uitproberen  

(Bewerkt door Wibo Lehmann om 10:42, 26-05-2011)

Wat is dit voor een raar forum? Reacties worden verwijderd omdat ze volgens het moderatorteam nergens op slaan en alleen bedoeld zijn om verdere reacties uit te lokken. Kijk, dat vind ik dan weer nergens op slaan. Op een forum communiceer je toch? Dus geef je af en toe een mening en reageer je op de mening van een ander. Zo ontwikkelt zich een meer of minder interessante discussie. Wanneer ik schrijf dat eBay niet Google maar de ex-werknemers zou moeten aanklagen in http://www.macfreak.nl/nieuws/22568/betalen-met-android-gelanceerd-en-meteen-al-aangeklaagd/ met een argument waarom ik dat vind, wordt dit verwijderd. Wanneer ik vertel dat Dell op de Nederlandse pagina een andere formulering gebruikt in http://www.macfreak.nl/nieuws/22564/kleine-lettertjes-dell-maken-het-verschil/ wordt dat eerst tweemaal verwijderd met als extra motivatie dat dit trollen is. Wanneer ik per PB om verduidelijking vraag krijg ik als antwoord:

Titel van het bericht: Antw: Reacties verwijderd
De discussie gaat over een artikel in Engeland, dus is de reactie over Nederland in principe off-topic. De reacties van de medeforumleden zouden je dat al duidelijk moeten hebben gemaakt.

Als dat voor jou niet duidelijk is dan begrijp je kennelijk niet hoe het bij ons werkt en zullen we je meteen verwijderen.

Je kunt dit dan ook meteen als laatste waarschuwing beschouwen. Verder gedrag dat wij beschouwen als trollen of verderr vragen of commentaar naar ons toe zullen resulteren in een ban.

het moderatorteam

Volgens mij moet hier toch iets anders aan de hand zijn. Schrijf mij alsjeblieft uit van dit forum. Ik wil hier niet meer mee geassocieerd kunnen worden!

(Bewerkt door Wibo Lehmann om 10:26, 27-05-2011)

Er heeft zelfs inmiddels al iemand de moeite genomen om een "uninstall guide" voor Mac Guard te maken: Remove Mac Guard or MacGuard (Uninstall Guide).

davidem om 10:24, 26-05-2011
Wat ik belangrijk vind om te weten is het volgende: als deze rommel zichzelf installeert zonder wachtwoord, gebeurt dat dan alleen voor de actieve gebruiker? Dus in zijn eigen homedirectory? Of globaal voor alle gebruikers?

Er wordt een applicatie (avRunner) geinstalleerd in de map /Applications. Deze is centraal voor alle gebruikers.

Uit het originele bericht:

Intego today discovered a new variant of this malware that functions slightly differently. It comes in two parts. The first part is a downloader, a tool that, after installation, downloads a payload from a web server. As with the Mac Defender malware variants, this installation package, called avSetup.pkg, is downloaded automatically when a user visits a specially crafted web site.

If Safari’s “Open ‘safe’ files after downloading” option is checked, the package will open Apple’s Installer, and the user will see a standard installation screen. If not, users may see the downloaded ZIP archive and double-click it out of curiosity, not remembering what they downloaded, then double-click the installation package. In either case, the Mac OS X Installer will launch.

Unlike the previous variants of this fake antivirus,no administrator’s password is required to install this program. Since any user with an administrator’s account – the default if there is just one user on a Mac – can install software in the Applications folder, a password is not needed. This package installs an application – the downloader – named avRunner, which then launches automatically. At the same time, the installation package deletes itself from the user’s Mac, so no traces of the original installer are left behind.

Dit bevestigt mijn vermoeden en hieruit kun je leren dat het beter is om niet standaard onder een admin account te werken.

Wat is dit voor een raar forum? Reacties worden verwijderd omdat ze volgens het moderatorteam nergens op slaan en alleen bedoeld zijn om verdere reacties uit te lokken. Kijk, dat vind ik dan weer nergens op slaan. Op een forum communiceer je toch? Dus geef je af en toe een mening en reageer je op de mening van een ander. Zo ontwikkelt zich een meer of minder interessante discussie. Wanneer ik schrijf dat eBay niet Google maar de ex-werknemers zou moeten aanklagen in http://www.macfreak.nl/nieuws/22568/betalen-met-android-gelanceerd-en-meteen-al-aangeklaagd/ met een argument waarom ik dat vind, wordt dit verwijderd. Wanneer ik vertel dat Dell op de Nederlandse pagina een andere formulering gebruikt in http://www.macfreak.nl/nieuws/22564/kleine-lettertjes-dell-maken-het-verschil/ wordt dat eerst tweemaal verwijderd met als extra motivatie dat dit trollen is. Wanneer ik per PB om verduidelijking vraag krijg ik als antwoord:

Titel van het bericht: Antw: Reacties verwijderd
De discussie gaat over een artikel in Engeland, dus is de reactie over Nederland in principe off-topic. De reacties van de medeforumleden zouden je dat al duidelijk moeten hebben gemaakt.

Als dat voor jou niet duidelijk is dan begrijp je kennelijk niet hoe het bij ons werkt en zullen we je meteen verwijderen.

Je kunt dit dan ook meteen als laatste waarschuwing beschouwen. Verder gedrag dat wij beschouwen als trollen of verderr vragen of commentaar naar ons toe zullen resulteren in een ban.

het moderatorteam

Volgens mij moet hier toch iets anders aan de hand zijn. Schrijf mij alsjeblieft uit van dit forum. Ik wil hier niet meer mee geassocieerd kunnen worden!

(Bewerkt door Wibo Lehmann om 10:27, 27-05-2011)

het probleem is alleen, dat als je als argeloze overstapper, je nieuwe Mac met spanning uit de doos haalt en opstart.
vrijwel automatisch wordt er dan een beheerders-account aangemaakt.
met dit type account zullen heel veel mensen gewoon werken, lijkt me.

nu de HD half vol is, wordt overstappen naar een "standaard" account een beetje lastig.
want alle data zit nu in het beheerders-account.

fred44nl om 13:26, 26-05-2011
nu de HD half vol is, wordt overstappen naar een "standaard" account een beetje lastig. want alle data zit nu in het beheerders-account.

Dat is helemaal niet zo moeilijk. Je kunt een extra account aanmaken, en die beheerdersrechten geven. Vervolgens kun je de beheerdersrechten afnemen van het huidige account. De enige eis hierbij is dat er altijd tenminste één account moet zijn met beheerdersrechten.

dank je wel - weer wat geleerd.
ik gebruik mijn eigen account nu als beheerder.
na het downloaden van een programma, moet ik m'n wachtwoord ingeven, om het te kunnen installeren.
waar kan ik het e.e.a. lezen, hoe dat gaat werken als ik een stadaard account ga gebruiken ??
het is misschien een beetje off-topic, maar wel leerzaam, toch ??

Hier vind je wat info mbt accountbeheer:
http://docs.info.apple.com/article.html?path=Mac/10.6/nl/15599.html
http://docs.info.apple.com/article.html?path=Mac/10.6/nl/11774.html
http://docs.info.apple.com/article.html?path=Mac/10.6/nl/8235.html

davidem om 10:24, 26-05-2011
Wat ik belangrijk vind om te weten is het volgende: als deze rommel zichzelf installeert zonder wachtwoord...........

Dat gebeurt dus niet, er opent alleen een installatiescherm, verder gebeurt er niets.

Ben ik nu mis, of bestond die variant al in 2008?

Even controleren voor de zekerheid: als een installer mij vraagt om een wachtwoord zit ik goed he ? Dat betekent dan toch dat software nooit zonder mijn toestemming geinstalleerd kan worden ?

Automatisch openen van downloads staat natuurlijk uit in Safari; vind ik ook een blunder van Apple om dat aan te zetten default...

JoepieNL om 19:56, 26-05-2011
Even controleren voor de zekerheid: als een installer mij vraagt om een wachtwoord zit ik goed he? Dat betekent dan toch dat software nooit zonder mijn toestemming geinstalleerd kan worden ?

Tot zover ik weet (correcties/aanvullingen welkom) zit het zo:

Als je bent ingelogd met een account MET beheerdersrechten (dit is de standaard):
- wordt er NIET om een wachtwoord gevraagd als je een applicatie installeert in de standaard locatie (dwz de map /Applications)
- wordt er WEL om een wachtwoord gevraagd als de installer ook in andere systeemmappen bestanden neerzet


Als je bent ingelogd met een account ZONDER beheerdersrechten:
- wordt er WEL om een wachtwoord gevraagd als je een applicatie installeert in de standaard locatie (dwz de map /Applications)
- wordt er WEL om een wachtwoord gevraagd als de installer ook in andere systeemmappen bestanden neerzet

Hier nog wat informatie van Sophos:

http://nakedsecurity.sophos.com/2011/05/26/apple-malware-evolved-no-password-required/
http://nakedsecurity.sophos.com/2011/05/26/use-safari-on-your-mac-make-sure-you-change-the-default-settings/

Het is maar een kwestie van tijd dat er meer van deze zooi op de markt gaat komen.

Deze is ook leuk: http://nakedsecurity.sophos.com/2011/05/24/apple-support-to-infected-mac-users-you-cannot-show-the-customer-how-to-stop-the-process/

en

http://www.zdnet.com/blog/bott/apple-continues-to-tell-support-reps-do-not-help-with-mac-malware/3375


Dus je bent niet veilig op een Mac, trouwens (wil geen mensen bang maken) maar ook op een smartphone ben je niet veilig (en dan maakt het niet uit of je een iPhone, Android of andere phone hebt). Laatst nog een hele leuke docu gezien waar ze een trojan op een phone installeren en zo echt alles ermee kunnen, van afluisteren tot gebruik maken van credit card.

Mac Defender: Pay attention but don't panic.

So I understand that some of you worry that Mac Defender is a scary sign of things to come. But while the Mac security situation really is changing, those changes are due almost entirely to attackers' changing tactics and have little to do with the inherent strength or weakness of Mac security. The bottom line: You should pay attention to Mac security. But you don't need to freak out about it.