@arjan: BitTorrent is ontwikkeld om heel snel grote (universitaire) publicaties uit te kunnen wisselen, waarbij er tijdens de download al wordt begonnen met het uploaden. Zo kan iets in een mum van tijd op elke universiteit zijn.

Is overigens al bekend wat dat stukje malware precies doet?

  wordt ik nu gewoon oud of zijn er gewoon steeds meer wannabee journalisten, computer(mis/ge)bruikers en minder bedeelde 'experts'?

/System/Library/StartupItems/ is een directory waar, tja ... hoe kan het anders scripts (of programma's) automatisch worden opgestart. Lees: kunnen worden opgestart, want er zijn nog een aantal handelingen nodig om dat te bewerkstelligen.

Oftewel: ga naar de terminal en type:

cd /System/Library/StartupItems/
ls -la om te kijken wat er in zit (directory is nagenoeg altijd leeg)
sudo rm -rf /System/Library/StartupItems/*
sudo defaults delete com.apple.loginwindow LoginHook


et voila 'je virus' is weg.

En dan nu een 'bad script' voor dummies:

Open textedit en type:

#!/bin/sh

find . -name .DS_Store -delete
rm -r ~/Library/Caches/Safari
rm ~/Library/Cookies/Cookies.plist ~/Library/Safari/Downloads.plist
rm ~/Library/Safari/History.plist
defaults delete com.apple.safari RecentSearchStrings


Sla deze ellende op als virusvoorbeeld.sh

Open de terminal ...

sudo chmod 755 virusvoorbeeld.sh
sudo chown root:wheel virusvoorbeeld.sh
sudo cp virusvoorbeeld.sh /System/Library/StartupItems/
cd /System/Library/StartupItems/
sudo defaults write com.apple.loginwindow LoginHook /System/Library/StartupItems/virusvoorbeeld.sh


Klaar is klara

Wat doet dit script? Het wist alle .DS_Store bestanden waar 'icoon posities' en andere 'view opties' worden opgeslagen. Deze bestanden worden automatisch (opnieuw) aangemaakt. Meeste 'clean' programma's kunnen dit ook. Het tweede deel van het script wist de Safari Cache, Safarie Cookies en Safarie (Search) History. That's it! Maar ... dat doet het elke keer als je inlogt en je merkt er hélemaal niets van. Waarom niet? Het wordt opeenvolgend na een succesvolle login 'op de unixlaag' gedraait.

Hoe kun je deze ellende weer ongedaan maken ?

sudo defaults delete com.apple.loginwindow LoginHook
sudo rm -rf /System/Library/StartupItems/virusvoorbeeld.sh


Over dit niveau 'trojans' spreken we zo ongeveer.

I'm really impressed! Knap hoor ...

Maar nu de realiteit: de meeste mensen hebben t-o-t-a-a-l geen benul van de werking van het besturingssysteem. De meeste mensen hebben al een 'hard time' om programmatuur te snappen.

Het vervelende is dat het met een shellscript wel degelijk mogelijk is om 'iedereen' uit je adresboek een mailtje te sturen. Ook is het mogelijk om nog voordat je 'hallo wereld' hebt kunnen typen in pages of zelfs maar je finder hebt mogen aanschouwen een script allerlei privé gegevens kopieert en verstuurt naar een server of ... voor jou niet schadelijk maar wel vervelend ... een url ophaalt van een of andere vage server in oezbekistan of nigeria om vervolgens heel vaak die webserver te bestoken.

Behalve een shellscript kun je ook een 'binary executable' maken die eveneens heel slechte dingen doet.

Dit soort mechanismen worden vaak door bendes gebruikt om bedrijven te chanteren.

Is dit tegen te gaan? Ja, natuurlijk: gewoon legale software kopen en van vertrouwde sites je gratis software binnenhalen. En natuurlijk ... niet overal klakkeloos 'ja' op klikken zonder de boodschap te hebben gelezen. En als een vage boodschap vaak terugkomt: vraag een specialist wat dat nu (mogelijkerwijs) betekend.

Triest is alleen dat juist op Windows dit een groot probleem is. Behalve dat het besturingssysteem een klei-hut is van 20 verdieping en niet bijster intelligent opgezet is met alle gevolgen van dien. Is er heel veel illegale ellende beschikbaar voor ... juist ja ... Windows. En die no-no's maar klikken en klikken. Het ene illegale programma na het andere met een lading viri, trojans en andersoortige troep waar menig computerexpert een beetje stil van wordt.

Maar ja ... 'het is gratis'. En 'software is zó duur' ... 'Het is oneerlijk dat we ervoor moeten betalen'. Dus wat doet men en-masse: installeren die illegale ellende en foute sites bezoeken.

Wat ik wel eens op notebooks van klanten tegen kom: te ranzig voor woorden. Sommige [PIEP]s formatteren de schijf of maken hem 'onklaar' en denken dan: je kunt niet meer zien wat ik met de notebook heb gedaan. Leveren hem in onder het mom: 'hij is stuk'.

Vervolgens doen we wat diagnostics en wat blijkt: er is mee geknoeit. Daarop bit voor bit de HDD leegtrekken en eens bestuderen: pornosites te ranzig voor woorden, illegale MP3'tjes, AAC'tjes, collecties Videos en natuurlijk illegale software.

Confronteer je de mensen: dan kijken ze je glazig aan zo van ... hoe weet ie dat allemaal? En dan houden ze natuurlijk bij hoog en laag vol: 'ik weet van niks'. 'Geen idee hoe dat komt'.

Zoals eerder geschreven: ook Mac-gebruikers zijn niet roomser dan de paus. MacOS X zit in tegenstelling tot de Windows-kern goed in elkaar. Dat er steeds vaker geluiden te horen zijn over 'viri', 'trojans' en andersoortige. En het feit dat ik weleens spamberichten waarvan ik de oorsprong écht kan herleiden tot macgebruikers zegt mij genoeg ... Ook mac-gebruikers vallen steeds vaker voor 'gratis'.

Happy MacFreakin'

Groet,

Doctor  

Doctor Apple om 9:36, 23-01-2009

Oftewel: ga naar de terminal en type:

Code: [Selecteer]

cd /System/Library/StartupItems/
ls -la om te kijken wat er in zit (directory is nagenoeg altijd leeg)
sudo rm -rf /System/Library/StartupItems/*
sudo defaults delete com.apple.loginwindow LoginHook


et voila 'je virus' is weg.

Je kunt natuurlijk ook gewoon in de Finder naar die map gaan en het met hand weggooien...  

@ Docter Apple: als het zo gemakkelijk is om een hoop bestanden automatisch weg te gooien (wat ik altijd al gedacht heb) dan moet er toch nog iets onder de motorkap van Mac OS X zitten dat voorkomt dat er iets echt kwaadwillige gebeurt. Anders is het schrijven van virussen e.d. een eitje. En dat is het blijkbaar niet...

Jammer, dit is dan de andere kant van de succes-medaille van Apple. Hoe groter het aandeel Macs wordt, hoe groter de kans dat meer virussen worden gemaakt en verspreid. Tot nu toe is het gelukkig nog erg summier allemaal en ben ik blij dat ik al meer dan 10 jaar tegen mijn pc-vrienden kan zeggen dat ik geen antivirusprogramma's gebruik omdat ik ze niet nodig heb   .

Robert om 9:58, 23-01-2009

Citaat

Doctor Apple om 9:36, 23-01-2009

Oftewel: ga naar de terminal en type:

Code: [Selecteer]

cd /System/Library/StartupItems/
ls -la om te kijken wat er in zit (directory is nagenoeg altijd leeg)
sudo rm -rf /System/Library/StartupItems/*
sudo defaults delete com.apple.loginwindow LoginHook


et voila 'je virus' is weg.

Je kunt natuurlijk ook gewoon in de Finder naar die map gaan en het met hand weggooien...  

De script variant staat veel interessanter!

imacgekom 10:46, 23-01-2009
Jammer, dit is dan de andere kant van de succes-medaille van Apple.
...

Dat was 5 jaar geleden bij mijn switch niet wat ik voor ogen had. OS X is structureel beter dan Windows, dus het is ook niet nodig: de kans op virussen is vrijwel 0, maar met trojans kun je goedgelovigen en blinde OK-klikkers hele systemen laten mollen.

Nu zat de trojan verstopt in een illegale iWork, maar straks wordt dat misschien in een legale OpenOffice.org, want weet jij via welke mirror je 'm binnenhaalt?

Al met al een slechte ontwikkeling! Laten we hopen dat het hierbij blijft, en dat de zieke geesten zich op Windows blijven focussen...

Hallo allemaal,

Wat me opvalt is dat er volgens mij toch aardig wat freakers LittleSnitch gebruiken en dat heb je toch eigenlijk alleen nodig als je illegaal aan het binnen halen bent   omdat er geen virus dingen of trojaanse paarden zijn, of niet op legale software enzo zitten. of is dit te kort door de bocht.

En voor wat aankoop en gebruik legale software als particulier, als ik 2 computer zou hebben dan installeer ik dat op alle 2 en dat is wat anders dan een bedrijf met 1000 medewerkers.

grt

M

mayo om 13:01, 23-01-2009
...
En voor wat aankoop en gebruik legale software als particulier, als ik 2 computer zou hebben dan installeer ik dat op alle 2 en dat is wat anders dan een bedrijf met 1000 medewerkers.
...

Ben ik het helemaal mee eens, alleen dat kun je beter niet zeggen op een site waar velen roomser zijn dan de paus...

Volgens de Nederlandse wet is het toegestaan om je ééngebruiker licentie op meerdere computers te installeren, als het maar niet op meerdere computers tegelijk wordt gebruikt.

Ik heb drie computers, mag het dan ook nog van jou?

Waar leg jij de grens? Bij jezelf? Hou het dan maar liever voor je  

Vitruvius om 10:06, 23-01-2009
@ Docter Apple: als het zo gemakkelijk is om een hoop bestanden automatisch weg te gooien (wat ik altijd al gedacht heb) dan moet er toch nog iets onder de motorkap van Mac OS X zitten dat voorkomt dat er iets echt kwaadwillige gebeurt. Anders is het schrijven van virussen e.d. een eitje. En dat is het blijkbaar niet...

Wel, het enige dat nodig is, is een authenticatie. Dus: nee. zo eenvoudig is het niet, want je hebt administrator-rechten nodig.

Maar, wat blijkt: dit mechanisme is tot op zekere hoogte veilig. Het is nog steeds zo dat het gros van de mensen de mededelingen van het OS niet leest of niet eens de moeite neemt om te kijken of het een 'legitiem' programma is. Het gevolg: men klikt op okay en voor je het weet heb je dus een scriptje geinstalleerd dat je Safari-Cache weggooid.

Let wel, mijn eerder gegeven voorbeeld is verre van ideaal en zeker niet de 'geoptimaliseerde weg' om een virus-script te schrijven.

Maar ja: ik ga niet hier mensen op ideeen brengen  

Groet,

Doctor  

Panico om 14:15, 23-01-2009
Ik heb drie computers, mag het dan ook nog van jou?

Waar leg jij de grens? Bij jezelf? Hou het dan maar liever voor je  

Beste Panico, neem even de moeite om mijn hele bericht te lezen! Voor jouw gerief staat het deel wat je voor het gemak geskipt hebt hieronder nogmaals:

MacFrankie om 13:40, 23-01-2009
...
Volgens de Nederlandse wet is het toegestaan om je ééngebruiker licentie op meerdere computers te installeren, als het maar niet op meerdere computers tegelijk wordt gebruikt.

Als jij 10 Mac's hebt, je installeert je single user license op alle 10 Mac's, maar je gebruikt slechts één Mac tegelijk, want je woont bijvoorbeeld alleen en je krijgt nooit bezoek dat bij jou komt computeren, dan ben je volgens de Nederlandse wet (en volgens mij ook) legaal bezig.

Als jij 10 Mac's hebt, je installeert je single user license op alle 10 Mac's, en je gebruikt dat programma op al je 10 Mac's tegelijk, want je woont bijvoorbeeld niet alleen maar met vrouw en 8 kinderen, dan ben je volgens de Nederlandse wet (en volgens mij ook) niet legaal bezig.

Daar ligt voor mij de grens! Niet het aantal installaties, maar het gebruik van de software!

@MacFrankie: qua gevoel heb je zeker gelijk, en ik denk dat niemand er boos op aangekeken zal worden als hij dat zo doet. Op 1 punt heb ik echter mijn twijfels. Namelijk dat je zegt dat dit volgens de wet zo is. Dat is mij namelijk niet bekend. Ik zou wel eens willen zien waar dat staat.

Dat is dus wat ik ook bedoel, bijvoorbeeld 2 computers en dan ben ik op een bezig, anders begint het toch op een bedrijfje te lijken

Zeg waar kan in die iWork downloaden, want ik wil ook wel eens met mijn windows collega's mee kunnen praten. De laatste keer dat iets van een Mac-virus kreeg was met hypercard, het marry cristmas virus.

Een trojan is nog geen virus. Het kan zich niet zelf verspreiden... En je moet een wachtwoord intikken.