[img=right]http://www.macfreak.nl/base/data/news/images/virus.jpg[/img]Intego waarschuwt voor OSX/OpinionSpy spyware dat meelift met een aantal programma's en screensavers die onder andere via MacUpdate, VersionTracker en Softpedia aangeboden worden. Met name dat laatste lijkt ons zorgwekkend, want dat zijn juist de sites die door veel mensen gebruikt worden om programma's en updates te vinden.

OSX/OpinionSpy installeert zichzelf met zogenaamde 'root'-rechten, wat betekent dat het de macht heeft om willekeurig wat op je Mac te doen. Daarvoor zal je tijdens de installatie wel een beheerders-wachtwoord moeten invullen, maar omdat het gebeurt tijdens de installatie van een programma dat je zelf naar binnen hebt gehaald valt dat niet zo snel op.

De hele lijst van het 'moois' dat deze spyware allemaal uit kan halen is te vinden op de site van Intego, waar natuurlijk ook de vermelding te vinden is dat Intego's VirusBarrier X5 en X6 (mits met de update van 31 mei) dit virus voor je kunnen lokaliseren.

Verder hopen we dat MacUpdate, VersionTracker en Softpedia op korte termijn gaan zorgen dat dit soort zaken voorkomen gaan worden, want anders zal het vertrouwen in zulke sites natuurlijk snel afnemen.

Een lijst van dusver besmette software:

http://www.intego.com/news/preliminary-list-of-applications-that-install-osx-opinionspy-spyware.asp

Dit baart me wel een beetje zorgen... zijn we straks toch ook genoodzaakt om net als bij Windows, scanners te gaan gebruiken omdat vrij te downloaden apps niet zonder meer te vertrouwen zijn?

@ Spooter: Dan is er dus maar één programma waar dit tot toe van toepassing is (MishInc FLV To Mp3), want verder zie ik alleen maar sceensavers in die lijst...

@ Robert:
Dan nog... deze websites horen vertrouwde bronnen van software te zijn :/

Dit zuigt best hard...

Cailin Coilleach om 14:02, 2-06-2010
@ Robert:


Dit zuigt best hard...

Uhh????   Dus??

Intego is uiteraard een onverdachte bron die helemaal géén commerciële belangen heeft in het rondstrooien van zulke crap…

Let FUD reign.

(Bewerkt door michelvdb om 14:12, 2-06-2010)

@ michelvdb: Ik ben ook erg voorzichtig met het klakkeloos overnemen van informatie van Intego en ben me er ook erg van bewust dat die belang hebben met dit soort zaken, maar het hoofd in zand steken lijkt me ook niet erg verstandig...

Goed, ik steek mijn kop niet in 't zand, dat kriebelt teveel in de neus.
Maar… http://secunia.com/advisories/search/?search=OpinionSpy
en Google je op OpinionSpy vindt je hits die zo goed als alle naar Intego verwijzen.
Daarom vind ik dat Intego-bericht niet integer maar vals.

(Bewerkt door michelvdb om 14:27, 2-06-2010)

Wel, d'r is een goede manier om er achter te komen of het er echt in zit of niet...

Bouw een sandbox Macje, monitor al het netwerkverkeer, installeer de software en doe een "diff" op je harde schijf om te vinden wat ie allemaal heeft geinstalleerd. Me dunkt dat dit toch echt wel echt is hoor...

Dat dit soort dingen als BonzaiBuddy al lang bestaan voor Windows is natuurlijk waar. Maar de gemiddelde Mac gebruiker is dit echt niet gewend. Zeker niet van reputabele download sites.

Kijk hier hoe je de trojan kan verwijderen zonder gelijk Intego te spekken: http://www.guardian.co.uk/technology/askjack/2010/jun/02/how-to-remove-opinionspy

Het lijkt erop dat Intego z'n eigen afzetmarkt aan het creëren is...

De bron van die OpinionSpy zou een Russische oorsprong hebben. Had je wat anders verwacht?

whois 7art-screensavers.com

domain: 7art-screensavers.com
reg_created: 2002-06-04 09:30:59
expires: 2012-06-04 13:30:59
created: 2002-06-04 15:31:00
changed: 2010-05-18 09:02:00
ns0: ns1.ev1servers.net
ns1: ns2.ev1servers.net
owner-c:
 nic-hdl: AK1130-GANDI
 owner-name: Alex Korsakoff
 organisation: Alex Korsakoff
 person: Alex Korsakoff
 address: P.O.Box 464
 zipcode: 111555
 city: Moscow
 country: Russia
 phone: ~
 fax: ~
 email: 065791b0bb17c205a6097de5d07d81ff-ak1130@contact.gandi.net
 lastupdated: 2007-10-05 10:29:16
admin-c:
 nic-hdl: RR370-GANDI
 organisation: ''
 person: Roman Rusavsky
 address: 'Altuphievskoye shosse, 58A-223'
 zipcode: 127549
 city: Moscow
 country: Russia
 phone: +7.4959026445
 fax: +7.4959026445
 email: 549a360df02ede71b0ff74c1b73d5a5c-rr370@contact.gandi.net
 lastupdated: 2010-02-23 12:13:48
tech-c:
 nic-hdl: AR41-GANDI
 organisation: GANDI
 person: GANDI Auto Register 4.1
 address: 15 place de la Nation
 zipcode: F-75011
 city: Paris
 country: France
 phone: +33.143737851
 fax: ~
 email: ab3a1046d1b51f35a55862198a88013b-ar41@contact.gandi.net
 lastupdated: 2010-02-23 12:06:31
bill-c:
 nic-hdl: RR370-GANDI
 organisation: ''
 person: Roman Rusavsky
 address: 'Altuphievskoye shosse, 58A-223'
 zipcode: 127549
 city: Moscow
 country: Russia
 phone: +7.4959026445
 fax: +7.4959026445
 email: 549a360df02ede71b0ff74c1b73d5a5c-rr370@contact.gandi.net
 lastupdated: 2010-02-23 12:13:48

Sophos zit ook op het nieuws.

(Bewerkt door michelvdb om 15:48, 2-06-2010)

Spooter om 13:28, 2-06-2010
Een lijst van dusver besmette software:

http://www.intego.com/news/preliminary-list-of-applications-that-install-osx-opinionspy-spyware.asp

deze link werkt niet weer?
welke programma's zijn het?

"It requests an administrator’s password on installation."

Da's op zich heel prettig (want het is daarmee nadrukkelijk géén virus), maar omdat je die gedownloade software ook gaat installeren zul je zo'n vraag om het admin password niet verdacht vinden. Toch best vervelend, dus...



[ Ger ]

@Ger, inderdaad en als dit doorzet zijn we helaas op de mac ook aangewezen op de een of andere scanner die deze meuk herkent.

haha Bonzibuddy, mijn vertrouwde kameraadje om de information superhighway mee te surfen !

wat een grappige aap is dat toch  




(Bewerkt door Pb2k om 16:49, 2-06-2010)

Op MacUpdate zijn ze 'Currently Unavailable' geworden.
Op Versiontracker is niets (meer) onder 7art of 7art-screensavers.com te vinden.
Op Softpedia Mac is evenmin wat te vinden.

Is die Roman Rusavsky  niet gewoon aan te pakken? Of ben ik weer te naief ?

@ Pb2k

Ik vind alle extra reclame uiterst ongewenst dus deze Aap komt er bij mij niet op....

Ja, vraag even aan Vladimir Vladimirovitsj Poetin of hij zijn Federalnaja Sloezjba Bezopasnosti Rossijskoj Federatsii, de FSB, op hem wil afsturen…



(Bewerkt door michelvdb om 17:06, 2-06-2010)

Of je belt 'm even zelf... ???
Als 'ie die programmatalen kan, zal 'ie ook wel Engels kunnen...

Moet je trouwens niet bij Alex Korsakoff zijn dan?

Ja cool we gaan hem bellen en vragen waar hij mee bezig is..



Iemand zin om dit te filmen?
Ben wel toe aan een nieuwe Pulp Fiction film.

Ja ... Pulp Fiction achtig ... mag van mij meteen....

Of wellicht een KillBill variant ?

DNA Ja cool we gaan hem bellen en vragen waar hij mee bezig is..

Hij zal het zelf inmiddels al wel vergeten zijn....