[img=right]http://www.macfreak.nl/base/data/news/images/java.jpg[/img]We publiceerden gisteren dit nieuwsbericht met de titel 'Belangrijke Java update voor Snow Leopard en Lion' en het lijkt er op dat we die titel niet voor niets hadden gekozen.

Want die update was bedoeld om de Mac Flashback Trojan te stoppen, en inmiddels lijkt het er op dat al meer dan een half miljoen Macs daar last van hebben. En dat aantal loopt natuurlijk alleen maar verder op als niet iedereen zo snel mogelijk deze update installeert.

Mocht je willen weten of je zelf de klos bent, op deze pagina van F-Secure kan je lezen hoe je er achter kan komen of je deze Trojan wel of niet op je Mac hebt.

Het lijkt er in ieder geval op dat je immuun bent als je Little Snitch, Xcode, VirusBarrier X6, iAntiVirus, Avast!, ClamXav, HTTPScoop of Packet Peeper op je Mac hebt staan, want als de Trojan daar de benodigde bestanden van tegenkomt dan installeert hij zichzelf niet, maar verwijdert hij zichzelf meteen weer.

Verder lijkt het de moeite om iedereen er even aan te herinneren dat Java sinds Lion niet meer standaard op je Mac geïnstalleerd staat. Mocht je willen weten of dat wel zo is, dan kan in het programma Terminal 'java -version' (zonder aanhalingstekens) zetten gevolgd door de Return-toets.

Als Java op je Mac staat, dan zal je daarna meteen zien welke versie dat is.


met dank aan forumlid FanBoy voor het doorgeven van het Terminal-commado

Dit werpt dan (helaas) een ander licht op de vele draadjes over het gebruik van virusscanners op de Mac. Nu heeft de Mac een eigen malware security systeem ingebouwd. Houd dit dat niet al tegen?

Ik zie die niet vermeldt op de pagina van F-Secure en op dit moment neem ik niet te veel de tijd om uit te vinden hoe en wat, maar wilde ik vooral iedereen zo snel mogelijk waarschuwen...

gaat het hier niet om het gebruik van safari?

als je firefox gebruikt zit je dan niet veilig?

groet,

Ok, dankjewel en terecht dat je ons op deze manier waarschuwt. Ik heb zelf even gekeken in de malware definitie file van OS X en zie dat daarin 3 varianten van deze trojan worden afgevangen: OSX.FlashBack.A, B en C

Iphonefan123 om 11:00, 5-04-2012
gaat het hier niet om het gebruik van safari?

als je firefox gebruikt zit je dan niet veilig?

groet,

Volgens mij als je niet de programma's hebt geïnstalleerd die op de F-Secure pagina staan + je hebt Java standaard uit staan in elke browser dan is er niets aan de hand.

clean!

Shmoo om 11:09, 5-04-2012

Volgens mij als je niet de programma's hebt geïnstalleerd die op de F-Secure pagina staan + je hebt Java standaard uit staan in elke browser dan is er niets aan de hand.

De F-secure pagina geeft volgens mij aan dat wanneer je de vermelde programma's op je computer hebt staan dat het dan zichzelf uitschakelt en verwijdert van je schijf.

prionica om 11:04, 5-04-2012
Ok, dankjewel en terecht dat je ons op deze manier waarschuwt. Ik heb zelf even gekeken in de malware definitie file van OS X en zie dat daarin 3 varianten van deze trojan worden afgevangen: OSX.FlashBack.A, B en C

Java-applets waardoor de malware zich verspreidt, hebben niet te maken met Mac OS X's quarantaine systeem. Dat betekent dat Mac-gebruikers geen waarschuwingsvenster krijgen als een Java-applet als object van een webpagina wordt gedownload. Hierdoor weet de malware ook Apple's ingebouwde virusscanner Xprotect te omzeilen, aangezien die geen objecten in webpagina's scant. De exploitcode die Mac-gebruikers infecteert zou op meer dan vier miljoen gehackte webpagina's zijn aangetroffen.

via security.nl

The malware then creates a launch point by creating "~/.MacOSX/environment.plist", containing the following lines:

   < key >DYLD_INSERT_LIBRARIES< /key >
   < string >/Users/Shared/.libgmalloc.dylib< /string >

This in effect will inject binary2 into every application launched by the infected user.

Een oude truc handig misbruikt:
Overriding library functions in Mac OS X, the easy way: DYLD_INSERT_LIBRARIES
Hooking library calls on Mac using DYLD_INSERT_LIBRARIES

Ik heb m'n Java update gedraaid, via software update. Betekent dat dat ik niet meer geinfecteerd kan zijn? Ik denk het niet, maar de methode van F-secure gaat mij boven m'n pet.

Wat nu?

in het volgende topic heeft Pieterr enkele terminal-commando's gegeven.

http://www.macfreak.nl/forums/topic/18/5455/java-update-160_31-beschikbaar-voor-download/10/

Ah, veel dank! Twee keer: does not exist. Fijn is dat.

Fred ik snap hier zoals van ouds weer niets van. Als ik rechts bovenin Flash Player intyp, krijg ik Flash Player versie 10.1.82.76 dus op mijn Mac Os 10.7.3 is dat fout of hopelijk niet  

Java kan ik niet vinden, daarvoor moet ik een Java-runtime installeren dan kan ik Java VisualVM.app openen, allemaal abacadabra voor mij    

Maar ik kreeg dus die waarschuwing: http://www.ad.nl/ad/nl/5601/TV-Radio/article/detail/3236751/2012/04/06/Mac-computers-vaker-doelwit-hackers.dhtml

(Bewerkt door OmaShandy om 19:23, 6-04-2012)

om te beginnen moet je via Software-update (helemaal links boven - onder het appeltje) de laatste update uitvoeren.

daarna kun je met de terminal commando's van Pieterr controleren of je besmet bent.
die commaondo's staan in dit topic:


http://www.macfreak.nl/forums/topic/18/5455/10/highlight=java/

Sja Fred wat zijn Terminal-commando's  

je opent het programma Terminal (dat staat in de map programma's/hulpprogramma's)
dan krijg je een nieuw venster.
bij mij staat er dan:
Last login: Fri Apr  6 19:40:39 on ttys000
Joris:~ fred44nl$
bij jou zal daar natuurlijk iets anders staan.
de cursor staat precies achter het $-teken.

dan neem je het volgende commando (selecteren en kopieren)

defaults read /Applications/Safari.app/Contents/Info LSEnvironment

en dat plak je achter dat $-teken in het Terminal venster.
en dan druk je op enter.
dat geeft een resultaat, dat moet eindigen op "does not exist"
daarna neem je het 2e commando:

defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

opnieuw selecteren en kopieren
en opnieuw plakken achter het $-teken in Terminal
en dan druk te weer op enter.
als het goed is zie weer "does not exist"

Whauwie wat kan jij mij die dingen goed uitleggen Fred, dank je wel en ja hoor tweemaal does not exist.

Sja Terminal had ik nog nooit gezien hoor, maar ook bij mij stond er ongeveer hetzelfde als bij jou namelijk:  Fri Apr  6 20:51:09 on ttys000
e161194:~ (mijn naam)$

Ook dus 6 april

Oh maar moet ik dan geen Java hebben op mijn computer  

of je java hebt, kun je controleren met het volgende commando (in Terminal)

java -version

je vraagt dan welke versie java heeft.
en daar krijg je dan een antwoord op, zoals bijv.:

Joris:~ fred44nl$ java -version
java version "1.6.0_31"
Java(TM) SE Runtime Environment (build 1.6.0_31-b04-414-11M3626)
Java HotSpot(TM) 64-Bit Server VM (build 20.6-b01-414, mixed mode)

als je geen java hebt, dan zal er iets anders staan

heb je de update al gedaan ??

Er staat: No Java runtime present, requesting install.
e161194:~

Ja de computer is up-to-date.

je hebt dus helemaal geen java.
kun je langs die kant ook niet aangevallen worden

  Helemaal waar, maar kan ik het dan niet gebruiken en zo ja, hoe kan ik het dan het veiligst downloaden, kun je mij daarin wegwijzen  

je hebt een zo goed als nieuwe iMac, die geleverd is met Lion.
daar zit standaard geen java meer bij, want apple heeft daar een beetje een hekel aan.
net zoals aan flash
immers, java en flash zijn 2 belangrijke onderdelen waar besmettingen vandaan kunnen komen. bovendien is flash niet altijd even stabiel, maar daar ging het niet over.

je hebt sinds dat je deze iMac hebt kennelijk geen java nodig gehad, anders had er op de een of andere site wel de melding gekregen dat je geen java hebt.

m'n nieuwe MacBook Air kwam ook met Lion en had dus ook geen java.
die heb ik toen van de site van apple gehaald.
de plaats weet ik niet meer precies, maar waarschijnlijk hier:

http://support.apple.com/kb/DL1421?viewlocale=nl_NL

maar de vraag blijft natuurlijk: moet je wel java installeren, als je het niet nodig hebt ??

ik ben benieuwd wat de specialisten hierop gaan zeggen

wacht maar een paar dagen rustig af.

prettige paasen

Dank je wel voor je altijd fijne reactie Fred en ik wacht af. Ik kan me ook niet zo 1, 2, 3 herinneren dat erom gevraagd is hoor