Op de site van het Russische anti-virusbedrijf Dr. Web is een analyse te lezen van een malware voor de Mac die al sinds 2009 actief zou zijn, maar nu pas ontdekt is en de naam iWorm heeft meegekregen.

Of je hier last van hebt is makkelijk te zien, open je harddisk en ga daar naar Library > Application Support en kijk of je daar een map hebt die JavaW heet. Als dat zo is dan ben je de klos, en wordt jouw Mac waarschijnlijk misbruikt als onderdeel van een botnet, er zouden in totaal 544 geïnfecteerde Macs in Nederland zijn.

De naam van die JavaW-map zorgt ervoor dat we vermoeden dat Java hier weer eens gebruikt is om Macs te infecteren, zoals we in het verleden ook al gezien hebben. Ons advies is dan ook hetzelfde als altijd, als je Java niet nodig hebt installeer het dan niet, en als je het nodig hebt zorg dan altijd dat je de meest recente versie hebt, en blijf die trouw updaten.

Mocht je trouwens die JavaW map hebben gevonden in /Library/Application Support/ kijk dan ook even in /Library/LaunchDaemons/ want daar vind je dan waarschijnlijk een bestand 'com.JavaW', en dat moet je ook weggooien.

Vanaf OS X 10.7/Lion staat Java niet standaard meer op een Mac, de mensen die het er wel op hebben gezet zijn waarschijnlijk (en hopelijk) gebruikers die hun versie netjes updaten en die zijn dan waarschijnlijk ook niet geïnfecteerd. Daarbij heeft OS X vanaf 10.7/Lion ook Gatekeeper, waarbij de standaardinstellingen je niet toestaan om dingen te installeren van dubieuze bronnen, dus de kans dat die mensen met OS X 10.7 en later hier last van hebben lijkt klein, of die zouden het al heel erg lang op hun Mac moeten hebben staan, waarbij het bij upgrades van het systeem op hun Macs is achtergebleven.

Waarschijnlijker lijkt het dat het vooral om Macs met 10.6/Snow Leopard en oudere systemen gaat, waarbij mensen met accounts zonder wachtwoorden natuurlijk extra kwetsbaar zijn. Vooral omdat daar waarschijnlijk Macs bij zitten die Java 6 of ouder mee-geïnstalleerd hebben, dat al heel erg lang geen updates meer heeft gehad.

Ook bij die versies moet je trouwens toestemming geven voor een Java Applet als die voor het eerst draait, maar onze ervaring is dat mensen daar vaak toestemming voor geven, zonder dat ze op de hoogte zijn van de risico's. Nog een reden om geen Java op je Mac te zetten als je het niet beslist nodig hebt.

Snow Leopard krijgt trouwens nog wel updates binnen van Apple's XProtect (de meest recente was op 25 september 2014), dus helemaal weerloos ben je ook dan nog niet.

Op dit moment zijn het trouwens allemaal vooral veel aannames, echt zeker weten we nog niets. Niemand van het team van MacFreak is de JavaW map op een van onze Macs tegengekomen, dus kunnen we niet eens met zekerheid zeggen of deze malware echt verdwijnt als je die map en de Launch Deamon verwijderd.

Mocht iemand meer weten, dan lezen we dat graag in de reacties. Als er meer bekend wordt dan zullen we dit nieuwsbericht een update geven.




met dank aan forumlid 'JGO', die dit nieuws eerder op ons forum meldde

Zojuist lees ik op thesafemac dit:

"It also leaves a file in /private/var/root/.JavaW as the directory is restricted so far not a single AV in my test has picked up on that file. Not sure if it helps the persistence of iWorm but if it does, hiding in that directory will beat all AV. Interestingly the admin account doesn’t have access yet iWorm managed to get a file in there. Perhaps a root exploit of some kind?"

Het lijkt er dus op dat de Malware in staat is de toegangs-privileges te omzeilen?

Ik ben niet wantrouwend hoor; maar waarom komen al die anti-virus bedrijven uit Rusland?

Neen hoor, hier helemaal brandschoon !

Het beste kun je die vraag voorleggen op het volgende adres:
Scheveningseweg 2
2517 KT  's-Gravenhage
(consulaire afdeling Russische Ambassade)

Geen Java te zien! Goed hé!

Ik heb wel Java en heb die bestanden ook gevonden.
Uiteraard direct weg gegooid, maar vraag is nu ben ik alles kwijt?

Weet niet of ik het recent opgelopen heb of dat het via allerlei systeemversieupdates is meegekomen.

Hier de iMac helemaal schoon  

Heb net onderstaande link gevonden op de digitale snelweg:

http://jacobsalmela.com/roll-defense-mac-backdoor-iworm/

Hadden we al toch op InterMactivity.be, reeds tenminsre 24 uur, toch bedankt!

...of het een wedstrijd posten is

Hier kan je mijn eerste melding vinden:

http://www.macfreak.nl/forums/topic/3/26845/macbackdooriworm/

Ondertussen een TM backup terug gezet en is ie weg .. ik weet nog steeds niet hoe dit op mijn iMac terecht is gekomen maar belangrijkste is dat ik het heb kunnen oplossen.

http://arstechnica.com/security/2014/10/reddit-powered-botnet-infected-thousands-of-macs-worldwide/?comments=1

Kans dat dit inderdaad "oude" (2009) malware betreft: http://www.symantec.com/security_response/writeup.jsp?docid=2009-012620-2836-99&tabid=2

wivy om 09:49, 04-10-2014

ik weet nog steeds niet hoe dit op mijn iMac terecht is gekomen...

Misschien was de oplossing destijds (voor je kinderen) toch niet helemaal waterdicht. Dit lijkt meer op een trojan dan een worm. Misschien dat je kinderen een keer een leuk spelletje geinstalleerd hebben?

Op The Safe Mac lees je nu dat iemand de javaW bestanden weer heeft gevonden in /sbin. Er zijn als locaties dus momenteel:
/bibliotheek/application support,
/private/var/root en
/sbin
Zou je daarmee al zeer voorzichtig kunnen concluderen dat de malware bij binnenkomst willekeurig een locatie kiest?

Ik heb zojuist ingelogd als root (admin) gezocht op aangemaakte bestanden vóór 04-10-2014  en heb .javaW niet gevonden, maar wel in usr>share>java>tools een bestand genaamd: java visualVM. Daarover stel ik een vraag in een nieuw draadje want dat hoort hier niet thuis.

Op de site van het Russische anti-virusbedrijf Dr. Web is een analyse te lezen van een malware voor de Mac die al sinds 2009 actief zou zijn, maar nu pas ontdekt is.

Het is ook niet bepaald reclame voor je bedrijf als je daar pas na 5 jaar achter komt.  

ik heb met find any file gezocht en die vond niets

Update gepost door boni in het andere draadje over deze "worm" die wederom een trojan blijkt te zijn. http://www.thesafemac.com/iworm-method-of-infection-found/

The moral of the story? Never engage in software piracy.

This single piece of malware is FAR from the only thing you can get infected with while installing stolen software. Torrents and sites like PirateBay should be avoided at all costs. If you cannot afford to pay for a piece of software or a movie or something similar, do without. Downloading such things for free often come with LOTS of strings attached.

. http://www.electronista.com/articles/14/10/03/formerly.used.reddit.as.go.between.to.steal.user.data/

boni om 15:01, 4-10-2014
Photoshop CC 2014 is inderdaad de drager volgens the safe mac > http://www.thesafemac.com/iworm-method-of-infection-found/

(Is uit een ander draadje.)

Zet de discussie zoals gevoerd in het draadje welke Pieterr hierboven aanhaalt toch in een wat ander daglicht...  

Ik gooi naar aanleiding van dit laatste nieuws van TheSafeMac echt een slot op mijn zoektocht naar moeilijk of nauwelijks in Europa verkrijgbare films die vaak positief eindigen op PirateBay of cloud services waar interessante uploads ook regelmatig te vinden zijn. Dan maar minder cultuur in huis.  

Ik wil geen piraterij aanmoedigen, begrijp me niet verkeerd, maar door het downloaden van films krijg je geen trojans. Door het downloaden van illegale software is de kans op besmetting echter erg groot.

@Macfrankie: ik dacht het daarstraks nog te posten aan JGO dat men van een .avi en .sub bestand geen trojans en ander ongedierte binnenkrijgt.
Zeer interessante documentaire trouwens daarstraks gezocht enkel en gevonden op kickasstorrents: 'Hitler's Secretary Im Toten Winkel'.
http://nl.wikipedia.org/wiki/Traudl_Junge

Kunnen we uit de voorgaande posts concluderen dat je geen besmetting hebt, als je geen illegale copy van Photoshop CC 2014 op je Mac hebt?

En als je in library/application support niets vind wat  'com.JavaW' heet je dan niets hebt te vrezen?
Of is dat te simpel gedacht en moet ik ook die andere mappen doorzoeken?

De laatste update van Xprotect heeft versienummer 2050 en is van Zaterdag 4 Oktober, 21:56:55 GMT

Dit kun je terugvinden in het bestand
/System/Library/CoreServices/Coretypes.bundle/Contents/Resources/XProtect.meta.plist

Wanneer jouw Xprotect deze update nog niet heeft kun je die forceren door in de systeemvoorkeuren naar  Beveiliging en Privacy te gaan en daar op het tabblad Algemeen op het slotje te klikken. Je kunt dan een beheerderswachtwoord intypen zodat het knopje Geavanceerd geklikt kan worden. Haal dan het vinkje weg bij de optie om automatisch  updates te downloade voor de safe downloads list en zet dit vinkje dan weer aan. Dit triggert het systeem om die update op dat moment binnen te halen.

Daarmee kun je weer gerust Photoshop downloaden van TPB

wim spieringa om 10:38, 05-10-2014
...in de systeemvoorkeuren naar  Beveiliging en Privacy te gaan en daar op het tabblad Algemeen op het slotje te klikken. Je kunt dan een beheerderswachtwoord intypen zodat het knopje Geavanceerd geklikt kan worden. Haal dan het vinkje weg bij de optie om automatisch  updates te downloade voor de safe downloads list en zet dit vinkje dan weer aan.

Jij denkt dat we nog allemaal op ML (OS X 10.8) of eerder zitten?
Op 10.9 werkt het anders.
Zie: About the "Are you sure you want to open it?" alert (File Quarantine / Known Malware Detection)