[img=right]http://www.macfreak.nl/base/data/news/images/virus.jpg[/img]Twee bedrijven die zich bezig houden met computerbeveiliging, SecureMac en Intego, signaleren een nieuwe Trojan dat zowel werkt onder Windows als Mac OS X. Het helpt trouwens de overzichtelijkheid niet dat SecureMac deze Trojan de naam 'Boonana' heeft gegeven, terwijl Intego het heeft over 'OSX/Koobface.a'. Omdat het wat makkelijker in de mond ligt zullen wij het over Boonana hebben.

Op het moment verspreidt Boonana zich via Facebook en e-mail, met name in berichten die je de vraag stellen of jij misschien in die video te zien bent ('Is this you in this video?'). Deze Trojan 'werkt' zowel onder Windows als Mac OS X en dat lukt omdat het onder Java draait. Eenmaal geïnstalleerd draait het onzichtbaar in de achtergrond en na de eerstvolgende herstart geeft het toegang tot bestanden op je harde schijf. Daarbij meldt het zich van tijd tot tijd bij zijn eigen servers en verspreidt zich verder via spamberichten.

Als je geen risico wilt lopen kan je Java in je browser uitzetten, in Safari doe je dat door het vinkje weg te halen in Voorkeuren > Beveiliging > Activeer Java.

Mocht je willen weten of je de Trojan aan boord hebt, en hem eventueel ook meteen verwijderen, dan kan dat met dit tooltje van SecureMac.

Ik heb Java nodig om in te kunnen loggen op m'n werk.

Echter, iedere keer moet ik de gebruikersnaam en het wachtwoord van een beheerder invoeren om de Java-applet te kunnen starten. Voor mij is dat al een voldoende waarschuwing.

"Eenmaal geïnstalleerd draait het onzichtbaar in de achtergrond"

Kan zoiets geïnstalleerd worden zonder admin en wachtwoord op te geven? Je doet dat natuurlijk bij een herstart, activeer je daarmee direct die applet?

Vorige week was er toevallig ook een bericht dat Java vaker gebruikt wordt om malware te verspreiden.

Have you checked the Java?

Whilst working on our normal data pull and analysis for the Microsoft Security Intelligence Report (v9 - released last week), I embarked on a mini discovery mission on the exploit data that MMPC detects with our antimalware technology.  Although the main focus of antimalware software is on traditional malware families, antimalware technologies can do a good job when it comes to file exploits that require a lot of parsing, such as exploit-laden movies, documents, and ... Java.

What I discovered was that some of our exploit "malware" families were telling a scary story - an unprecedented wave of Java exploitation.  In fact, by the beginning of this year, the number of Java exploits (and by that I mean attacks on vulnerable Java code, not attacks using JavaScript) had well surpassed the total number of Adobe-related exploits we monitored. More...

Java Applets draaien normaliter in een Sandbox dus helemaal snappen doe ik het ook nog niet...

Meer info: http://www.securemac.com/boonana-bulletin.php

When a user clicks the infected link, the trojan initially runs as a Java applet, which downloads other files to the computer, including an installer, which launches automatically. When run, the installer modifies system files to bypass the need for passwords, allowing outside access to all files on the system. Additionally, the trojan sets itself to run invisibly in the background at startup, and periodically checks in with command and control servers to report information on the infected system. While running, the trojan horse hijacks user accounts to spread itself further via spam messages. Users have reported the trojan is spreading through e-mail as well as social media sites.

Activeer Java stond bij mij al uit, maar wat moet je doen met 'activeer javascript'?

@Ziegler: Java en Javascript zijn twee totaal onafhankelijke dingen. De gelijkenis is naam is inderdaad verwarrend.

Ziegler om 10:14, 28-10-2010
Activeer Java stond bij mij al uit, maar wat moet je doen met 'activeer javascript'?

zoals al eerder opgemerkt,zijn er tegenwoordig veel websites die java/script  vereisen.
Ik heb ook normaliter java en javascript e.d. altijd uitstaan zodat alleen maar de
popblocker is geactiveerd.  

Dus java & co wordt bij mij alleen maar aangezet als het echt moet.

(Bewerkt door markof om 10:25, 28-10-2010)

markof om 10:24, 28-10-2010

Ik heb ook normaliter java en javascript e.d. altijd uitstaan zodat alleen maar de
popblocker is geactiveerd.

Javascript standaard uitzetten lijkt mij nogal overdreven en lastig in het jQuery tijdperk Java uitzetten is prima want het wordt haast niet toegepast op de client.

Pieterr om 9:50, 28-10-2010
Java Applets draaien normaliter in een Sandbox dus helemaal snappen doe ik het ook nog niet...
...

Java Applets draaien in de zandbak, waar ze niet zomaar uit kunnen komen, tenzij ze een exploit in de JVM ontdekt hebben.

Java Applicaties kunnen je hele systeem gebruiken, en vallen dan onder de OS X security. Zodra je bij een Java programma je wachtwoord moet opgeven, weet je dat je heel erg moet uitkijken. Zelf zou ik het dan niet vertrouwen, en dus geen wachtwoord intypen.

MacFrankie om 12:30, 28-10-2010

Citaat

Pieterr om 9:50, 28-10-2010
Java Applets draaien normaliter in een Sandbox dus helemaal snappen doe ik het ook nog niet...
...

Java Applets draaien in de zandbak, waar ze niet zomaar uit kunnen komen, tenzij ze een exploit in de JVM ontdekt hebben.

Java Applicaties kunnen je hele systeem gebruiken, en vallen dan onder de OS X security. Zodra je bij een Java programma je wachtwoord moet opgeven, weet je dat je heel erg moet uitkijken. Zelf zou ik het dan niet vertrouwen, en dus geen wachtwoord intypen.

@MacFrankie: En dus? Wat is je punt? Snap jij het wel?

FlippnJJ om 9:47, 28-10-2010
"Eenmaal geïnstalleerd draait het onzichtbaar in de achtergrond"

Kan zoiets geïnstalleerd worden zonder admin en wachtwoord op te geven? Je doet dat natuurlijk bij een herstart, activeer je daarmee direct die applet?

Ja dat kan altijd. Als een onzichtbare map .jnana in je Home folder.

INTEGO SECURITY MEMO – October 27, 2010
Trojan Horse OSX/Koobface.A Affects Mac OS X
Mac Koobface Variant Spreads via Facebook, Twitter and More
If files are downloaded, they are stored in an invisible folder (.jnana) in the current user’s home folder.

Als ik Java uitzet in Firefox , werkt e.e.a. niet goed meer...

Het is echter opmerkelijk dat het weer eens SecureMac en Intego, twee handen op één buik, zijn die nieuws in the wild rondstrooien. En toevallig heeft énkel SecureMac een tooltje en is er op andere security sites niets of weinig te vinden. Moeten die twee weer wat verkoopcijfers opkrikken?  

(Bewerkt door michelvdb om 22:33, 28-10-2010)

fryskhynder om 22:16, 28-10-2010
Als ik Java uitzet in Firefox , werkt e.e.a. niet goed meer...

Bij mij staat Java al erg lang uit en het is me nog niet opgevallen dat iets het niet doet of deed. Ik gebruik Safari i.p.v. Firefox.

Ik wilde (in Firefox) mail verwijderen uit mijn webmail bij UPC en toen kreeg ik de melding dat dit niet zou gaan zonder Java.

Iets meer achtergrondinfo over dit issue:
http://www.securemac.com/boonana-info.php
http://www.securemac.com/boonana-bulletin.php

Je moet dus wel degelijk (meer dan eens) klikken om de boel geinstalleerd te krijgen.

Dat is zeer verhelderende informatie!

Duidelijk weer een geval van PEBKAC of PICNIC…  

Problem Exists Between Keyboard And Chair
Problem In Chair Not In Computer

(Bewerkt door michelvdb om 15:26, 29-10-2010)