Nieuwe MacTrojan verhult zich als FlashPlayer

[img=right]http://www.macfreak.nl/base/data/news/images/virus.jpg[/img]Het is natuurlijk altijd opletten waar je je software vandaan haalt. Als die niet uit vertrouwde bron komt (de Mac App Store, MacUpdate of rechtstreeks vanaf de website van de leverancier) loop je zo maar het risico om met ongewenste rommel opgezadeld te worden.

Gelukkig kennen we op OS X nog niet het fenomeen 'virus', maar malware die op basis van 'social engineering' werkt vereist natuurlijk enige oplettendheid van de Mac bezitter, zeker wanneer de bron van de software niet vertrouwd is.

En zo heeft F-Secure een nieuwe Trojan ontdekt die zich voordoet als FlashPlayer, maar die feitelijk het /etc/host bestand wijzigt en er voor zorgt dat je via een nep Google pagina op een foute server terecht komt die allerlei rare pop-up pagina's produceert.



Volgens F-Secure gebeuren daar (nog) geen verdachte dingen (de pop-up pagina's zijn leeg) maar dat kan natuurlijk zo maar veranderen, bijvoorbeeld door gebruik te maken van een van de vele lekken in de officiële Flash Player.

bedankt voor deze waarschuwing en is er ook een eenvoudige manier om deze op je computer te vinden?

Ke kunt in het 'host' bestand kijken of je geïnfecteerd bent:

In de Finder 'Ga naar map...' en vul daar in: /etc

Vervolgens kun je het host bestand openen meet een teksteditor.
Daa moet alleen maar iets van localhost en broadcasthost in staan naar je interne IP adres (127.0.0.).
Zodra daar verwijzingen naar andere IP adressen in staan, is het foute boel.

Zie hier een voorbeeld van een standaard 'host' bestand:

##
# Host Database
#
# localhost is used to configure the loopback interface
# when the system is booting.  Do not change this entry.
##
127.0.0.1 localhost
255.255.255.255 broadcasthost
::1             localhost
fe80::1%lo0 localhost

bedankt K.A. ga eens kijken of me dit gaat lukken

Controle gedaan volgens aangeven van Karel Apple, met dank, alles is zoals je geeft.

Ik zie het zelfde staan als bij jouw voorbeeld K.A. dus ga er vanuit dat het goed is  

Ook even gecheckt en zie exact hetzelfde als KA.
Maar is het niet zo,  zoals Karel het zegt, je moet eerst op "verkeerde" sites je updates en of software halen wil je hier last van hebben.

In de praktijk betekent dat bv dat je ergens op een 'normale' site op een reclame-link klikt, en een pop-up krijgt met een optie om je Flash plug-in te updaten.

Dit is een van de redenen waarom ik niet van automatische updates houd, je bent zo snel het overzicht kwijt. Helaas moet ik dus wel dagelijks op MacUpdate en Software Update van Apple kijken.
Ook niet voor iedereen aan te raden; mijn moeder bv. bekijkt maar 1x per maand haar Gmail, en krijgt dan "telkens zo'n venstertje" en dan blijkt er weer een update van Firefox of Acrobat te zijn  

Hier ook hetzelfde, alleen daaronder staan er een aantal dingen met "Adobe" en 1 met "Apple" er in. Maar neem aan dat dat wel kan kloppen?  

Photocell om 8:34, 6-08-2011
Maar is het niet zo,  zoals Karel het zegt, je moet eerst op "verkeerde" sites je updates en of software halen wil je hier last van hebben.

Volgens mij is dat precies wat ik in het nieuwsbericht zeg....  

Je weet pas of een site verkeerd is als blijkt dat ze hun beveiliging niet op orde hebben; de reclame die van derden komt kan al genoeg zijn!

Ik heb er wel staan wat Karel Apple in zijn voorbeeld aangeeft met uitzonder van....
dat er na
127.0.0.1localhost
een regel staat met
#Activation Blocker    
waarna er een opsomming komt met ip adres                                                        
127.0.0.1 hl2rcv.adobe.com                                                      
127.0.0.1 t3dns.adobe.com                                                      
127.0.0.1 3dns-1.adobe.com        
en dan een hele waslijst, voordat ik verder ga met 255.255.255.255 broadcasthost.

Is hier iets aan de hand of niet omdat het allemaal 127.0.0.1 is????

Groetjes, Janneke

PS jullie noemen het bestand Host, bij mij heet het Hosts

(Bewerkt door Janneke435 om 11:23, 6-08-2011)

klopt, het bestand heet hosts.... maar men spreekt over het algemeen over het host bestand....

Vind het op zich wel grappig dat men het hier over "de lekken in flash" heeft en hoe slecht flash zou zijn terwijl er miljoenen iphones en ipads gejailbreaked zijn en een app geinstalleerd hebben via een simpele link in een browser......(jailbreakme.com)


offtopic:
Maaruh, Janneke, 127.0.0.1 hl2rcv.adobe.com ...... niet officieel gekochte versie van een Adone product geinstalleerd  

@Fanboy
Klopt, maar dan in verleden tijd het klopte !!!
Ik heb inderdaad de complete Adobe cs3 geinstalleerd gehad EN verwijderd omdat het niet was wat ik ervan verwacht had.
Mijn photoshop etc heb ik wel legaal   (mijn baas is de beroerdste niet hihihi)

Maar die hele waslijst met 127.0.0.1 en dan van die adobe dingen erachter zou ik weg kunnen halen???
Dat moet toen met die cs3 meegekomen zijn en die is niet meer, dus zou ik denken dat ik die lijst met regeltjes kan verwijderen????

En volgende vraagje meteen..... geen enge dingen binnengehaald dus????

Groetjessss, Janneke

(Bewerkt door Janneke435 om 11:45, 6-08-2011)

Als je alleen de adobe verwijzingen weghaalt, kan het geen kwaad, die verwijzen naar je eigen computer (127.0.0.1) om er voor te zorgen dat de registratieservers van Adobe niet bereikt kunnen worden.

Verwijzing naar localhost wel laten staan....

Een 'schoon' hosts bestand ziet er zo uit:

##
# Host Database
#
# localhost is used to configure the loopback interface
# when the system is booting.  Do not change this entry.
##
127.0.0.1       localhost
255.255.255.255 broadcasthost
::1             localhost
fe80::1%lo0     localhost

FanBoy om 11:39, 6-08-2011
 ...... niet officieel gekochte versie van een Adobe product geinstalleerd  

Ah, dat verklaart het. Ik ben er enige tijd geleden achtergekomen, na een telefoontje met Adobe, dat ik er een illegale versie van CS5 op had staan. Die is daarna meteen verwijderd en inmiddels staat er wel legale software op die ik nodig had. Kan ik die regels gewoon verwijderen in het host-bestand of moet dat via de terminal of zo?

 Jammer dat ik geen verstand heb van de techniek van een computer. De conversatie hieronder leek me wel interessant in verband met de traagheid van mijn Macbook. Ik vraag me alleen af wat ik nou eigenlijk op de puntjes moet invullen. Kan iemand mij dat vertellen?