Titel aangepast.

Er is een botnet ontdekt dat volgens een reactie op dat nieuws zou steunen op malware die gebruik maakt van Java. Het aantal besmettingen in Nederland, naar informatie die je kan vinden hier bedraagt enkele honderden Mac's.
Maar..... De informatie komt van een Russisch Anti-Virusbedrijf: Dr. Webb
Toch, waar rook is, is meestal vuur. De bijdrage/reactie van de tweede respondent is leesbaar en mijns inziens - als Mac gebruiker zonder diepgravende kennis - goed onderbouwd, ook omdat het is geschreven met nuchtere kennis van de Macintosh; asoluut geen bashing.

(Bewerkt door JGO om 23:30, 2-10-2014)

"Java ondersteunt nieuwe malware, maar..."
Erg onduidelijke titel voor dit topic, maar dat terzijde...

Mogelijke bron: illegale Photoshop versie? Als dat klopt is het geen worm maar een echte Trojan.
http://www.intermactivity.be/forum/showthread.php?123944-OSX-malware-opent-de-achterdeur-Mac-BackDoor-iWorm

Bedankt voor het kruisposten, Pieterr!

(Bewerkt door HEXDIY om 23:31, 2-10-2014)

En hier: http://jacobsalmela.com/roll-defense-mac-backdoor-iworm/ staat een uitleg om je er tegen te beschermen, en wel ingebouwd in de Mac systeemprogrammatuur middels map-acties!
Alleen ik begrijp het niet volledig.
Is het de bedoeling om via map acties twee mappen aan te maken met de namen van de mappen die door de worm worden aangemaakt en daar een systeemactie op te zetten als deze mappen benaderd worden door het Botnet of hoe moet ik dat nu zien?
Wat ik er uit opmaak lijkt een beetje op de manier gebruikt lang geleden om het Graphic Accelerator en 666 virus in classic mac een hak te zetten. Daarin moest je in de Extensiemap twee mappen plaatsen die exact dezelfde naam hadden als gebruikt door de voorgenoemde virussen. Als je dan een besmette applicatie startte die de onzichtbare kwaadaardige extensie genereerde kreeg je de foutmelding: 'een map kan nooit vervangen worden door een gelijkgenaamde bestand'

(Bewerkt door JGO om 23:43, 2-10-2014)

JGO om 21:25, 2-10-2014

Toch, waar rook is, is meestal vuur.

Maar het vuur is meestal door de wazige ontdekker zelf aangestoken! Het zijn de pyromanen onder de brandweermannen.

Ben je al besmet? Onderneem dan actie, anders niet.

Doe geen gekke dingen met je Mac, en ga niet zelf zitten sleutelen aan je systeem, vooral niet als je niet 100% zeker weet waar je mee bezig bent. Dus vergeet de instructie uit de link die je net gaf.

Want het lijkt heel leuk, dat je een waarschuwing krijgt als er iets in die folders wordt gezet, maar misschien waarschuwt het script jou helemaal niet, maar wil het zelf iets in die folders zetten.

@JGO, Nee, je zet een mapactie op om een melding te genereren wanneer er een nieuw item in zo'n map wordt geplaatst. Ik zou dit zelf niet toepassen omdat die eerste map (/Library/Application Support/JavaW) op een niet geïnfecteerde computer niet aanwezig is. Ik voel er weinig voor om alvast een bedje voor deze malware te spreiden. Zolang die map er niet is heb ik het idee (nog) niet geïnfecteerd te zijn.

@MacFrankie, het script is een standaard script van Apple. Wanneer dit malafide dingen doet moet het eerst door de malware zijn aangepast. Er zijn nog geen aanwijzingen dat dit ook gebeurt.

(Bewerkt door wim spieringa om 10:16, 3-10-2014)

Ik ben het eens met MacFrankie en wim spieringa. Zelf een mapactie definieren om je te wapenen tegen deze malware is een Janboerenfluitjes oplossing. Niet aan beginnen.

@ Pieterr, MacFrankie, wim,
Na een nachtje doorslapen en dit alles overpeinzend lijkt het mij inderdaad ook niet zo'n goed idee om een nieuwe map in Application support te plaatsen gelijkgenaamd aan de map die door de malware wordt aangemaakt bij infectie.
Volgens mij is het in het algemeen - dus niet specifiek voor deze malware - wel zinnig de waarschuwing: "One new item has been placed in folder ----- Would you like to view the added items?" te hangen aan de  2 Launche Agents en 2 Launche Daemons mappen in de beide systeem-bibliotheken.
Echter dan merk je weer dat de Launch Agents map in gebruikers bibliotheek niet wordt gedetecteerd door de Mapacties-configuratie app, en Drag & Drop werkt niet vanuit een zichtbaar gemaakte gebruikers bibliotheek, waarmee ik bedoel: de map naar de linkerkolom slepen van Mapacties-configuratie.  Dus helemaal volledig kun je dit niet configureren of je moet 10.6 of vroeger draaien waar de gebruikersbibliotheek nog wél zichtbaar was.
Little Snitch zou een oplossing zijn. Dan zie je welk verkeer 'uit gaat'. maar ja, dan heb je de malware al actief op je systeem.  

Zojuist lees ik op thesafemac dit:

"It also leaves a file in /private/var/root/.JavaW as the directory is restricted so far not a single AV in my test has picked up on that file. Not sure if it helps the persistence of iWorm but if it does, hiding in that directory will beat all AV. Interestingly the admin account doesn’t have access yet iWorm managed to get a file in there. Perhaps a root exploit of some kind?"

Het lijkt er dus op dat de Malware in staat is de toegangs-privileges te omzeilen.

http://www.thesafemac.com/dr-web-announces-new-iworm-malware/#comment-35894

Omdat we geen dubbele draadjes willen zetten we hier een slotje op en vragen we iedereen om bij dit nieuwsbericht verder te gaan.

Belangrijke bijdrages uit dit draadje daarheen kopiëren s.v.p.