Eerste echte malware op de App Store?
20 augustus 2016 - 09:19   
geplaatst door: cyrano
Citaat
We are now informed that "Disk Clean Pro/TuneUpMyMac" app comes with "Gen:Variant.Application.MAC.OSX.Tunenup.1" adware (directly from Mac App Store)

Everyone who installed this app should immediately delete all the related files to TuneupMyMac!
Check and Remove start up entry.

Sorry, geen lijstje, lijkt niet te werken hier...

Gebruik MalwareBytes:

https://www.malwarebytes.com/antimalware/mac/

(Bewerkt door cyrano om 9:20, 20-08-2016)

I'd tell you a UDP joke but you might not get it.
Eerste echte malware op de App Store?
20 augustus 2016 - 09:47    reactie #1
geplaatst door: boiing
Wat is de bron van het citaat?
Eerste echte malware op de App Store?
20 augustus 2016 - 09:53    reactie #2
geplaatst door: fred44nl
het staat op dit moment nog steeds in de app store.
als dit zo wereldschokkend zou zijn, dan was het reeds verwijderd.
maar inderdaad, wat is de bron ??
 MacBook Air (2020) - 13" - i7 - 256 GB SSD -  Catalina
Eerste echte malware op de App Store?
20 augustus 2016 - 11:58    reactie #3
geplaatst door: anraadts
In de titel staat malware, in het citaatje gaat het over adware.

Dat lijkt me nogal een verschil.

Eerste echte malware op de App Store?
20 augustus 2016 - 12:17    reactie #4
geplaatst door: cyrano
Er is nog geen 'bron'. Er is nl. nog niks over gepubliceerd. Het citaat komt van degene die het meldde.

Sophos kent deze blijkbaar al een hele tijd:

https://www.sophos.com/en-us/threat-center/threat-analyses/adware-and-puas/TuneupMyMac.aspx

Als jullie dat nog zien in de appstore, is dat mogelijk een cache probleem. Ik kijk al lang niet meer in de appstore omdat je er niet kan in navigeren. Of werkt de zoekfunctie al ondertussen?

De enige die iets heeft over Tune up, is Sophos en die lijken dat al lang te kennen, weliswaar als "unwanted application"

Het is trouwens weer zwaar aan 't schuiven in het adware wereldje. Blijkbaar is de vakantie over.

I'd tell you a UDP joke but you might not get it.
Eerste echte malware op de App Store?
20 augustus 2016 - 12:22    reactie #5
geplaatst door: cyrano

Citaat
anraadts om 11:58, 20-08-2016
In de titel staat malware, in het citaatje gaat het over adware.

Dat lijkt me nogal een verschil.

Malware is een verzamelnaam voor alles wat ongewenste software is. Van virussen en trojans, over adware tot ongewenste programma's. Er is teveel variatie om elke keer weer gaan uit te leggen wat het verschil tussen een worm en een trojan is, bv.

En sommige vormen van adware veranderen na een tijd in iets anders. Genieo was in 't begin nogal braaf en is daardoor een tijd van de radar gebleven. Toe het veranderde, was er al een pak gebruikers die moeilijk te overtuigen waren dat het crapware is. Crapware wordt dan ook wel eens als term gebruikt voor zeer buggy programma's.

Spam is ook ongewenst, maar geen malware.

I'd tell you a UDP joke but you might not get it.
Eerste echte malware op de App Store?
20 augustus 2016 - 12:31    reactie #6
geplaatst door: Flix
Juist adware begeeft zich op de grens van 'normal'-ware en 'mal-ware'.
Zo kun je al die advertenties van MF als adware beschouwen (maken gebruik van processen op jouw Mac), en kun je je tegen wapenen door een adblocker. Toch kun je het moeilijk malware noemen.
Zo zijn er wel meer zaken die ik malware zou noemen, waar anderen het als 'informatievoorziening' of zo zal uitleggen.
Eerste echte malware op de App Store?
20 augustus 2016 - 12:31    reactie #7
geplaatst door: cyrano
Deze programma's zijn trouwens niet nieuw. Ze zijn al jaren te vinden op sites als Cnet en download.com etc. Zie hier:

http://www.cnet.com/forums/discussions/tuneupmymac-a-fraud-malware-help-569581/

Geeft maar aan hoe goed het filter proces voor de appstore is. Blijkbaar heeft niemand bij Apple de app getest.

I'd tell you a UDP joke but you might not get it.
Eerste echte malware op de App Store?
20 augustus 2016 - 12:37    reactie #8
geplaatst door: cyrano

Citaat
Flix om 12:31, 20-08-2016
Juist adware begeeft zich op de grens van 'normal'-ware en 'mal-ware'.
Zo kun je al die advertenties van MF als adware beschouwen (maken gebruik van processen op jouw Mac), en kun je je tegen wapenen door een adblocker. Toch kun je het moeilijk malware noemen.
Zo zijn er wel meer zaken die ik malware zou noemen, waar anderen het als 'informatievoorziening' of zo zal uitleggen.

Installeer het dan maar eens...

Niet alleen is het geen disktool, de enige methode die een gewone gebruiker heeft om er vanaf te geraken, is betalen en blijven betalen. De uninstall werkt niet en zonder enkele Terminal commando's kom je er niet van af.

Legaal? Ja, vermits geen kat de EULA leest waarop ze klikken als ze dit downloaden en/of installeren...

Zo zijn er ook al ettelijke trojans die "legaal" zijn, want als je ze installeert dan staat in hun voorwaarden dat ze het recht hebben al je gegevens in te kijken, te kopiëren en bovendien eender wanneer elke bijkomende software te installeren waar ze zin in hebben.

I'd tell you a UDP joke but you might not get it.
Eerste echte malware op de App Store?
20 augustus 2016 - 12:44    reactie #9
geplaatst door: fred44nl
@cyrano
maar laat de bron van jouw eerste post dan es zien :)
 MacBook Air (2020) - 13" - i7 - 256 GB SSD -  Catalina
Eerste echte malware op de App Store?
20 augustus 2016 - 13:05    reactie #10
geplaatst door: boiing
TuneUpMyMac staat niet in de Mac App Store en heeft daar bij mijn weten ook nooit ingestaan. Ik vind de titel van je post dan ook nergens op slaan cyrano. Vandaar mijn eerste vraag, waar komt het citaat vandaan, en wáár werd het gemeld?
Eerste echte malware op de App Store?
20 augustus 2016 - 13:19    reactie #11
geplaatst door: fred44nl
 MacBook Air (2020) - 13" - i7 - 256 GB SSD -  Catalina
Eerste echte malware op de App Store?
20 augustus 2016 - 13:27    reactie #12
geplaatst door: boiing
@fred44nl: dat is niet TuneUpMyMac.. Zolang we niet weten waar de paniektekst van cyrano vandaan komt is er geen enkele reden om Disk Clean Pro te verdenken. Dat was ook al lang nieuws geweest als er iets mis mee was. Cyrano's volgende link naar sophos gaat over TuneUpMyMac, vandaar mijn vorige post.
Eerste echte malware op de App Store?
20 augustus 2016 - 14:29    reactie #13
geplaatst door: anraadts

Citaat
cyrano om 9:19, 20-08-2016
Citaat
We are now informed that "Disk Clean Pro/TuneUpMyMac" app comes with "Gen:Variant.Application.MAC.OSX.Tunenup.1" adware

Kennelijk zowel Disk Clean Pro als TuneUpMyMac, maar ik zou ook graag weten waar dit verhaal vandaan komt.  :cool:

Eerste echte malware op de App Store?
20 augustus 2016 - 15:46    reactie #14
geplaatst door: cyrano
Ik weet ook niet waarom. Kennelijk wil m'n niet op Apple's teentjes trappen? Of heeft men het nog niet gemerkt?

9to5Mac heeft het ook alleen over één van de vele namen van dat soort software:

https://9to5mac.com/2016/08/19/os-x-malware-mac-file-opener/

Doe maar eens een zoek op " Disk Clean Pro" en kijk of je 't probleem met de resultaten kan zien...

Tip: kijk naar de domeinnamen.

I'd tell you a UDP joke but you might not get it.
Eerste echte malware op de App Store?
20 augustus 2016 - 16:08    reactie #15
geplaatst door: fred44nl
@cyrano
je draait nogal om de brei heen.
waar heb je het citaat, uit jouw eerste post, vandaan ??
 MacBook Air (2020) - 13" - i7 - 256 GB SSD -  Catalina
Eerste echte malware op de App Store?
20 augustus 2016 - 16:48    reactie #16
geplaatst door: WaltervandeMeer
Ik kan het verhaal van cyrano bevestigen. Het gaat hier om een programma in de Mac Apple Store waarbij je na gebruik ervan tevens zit opgezadeld met de adware TuneupMyMac.

Deze crapware nestelt zich in je login items en sproeit van alles rond in je systeem. Het is niet de eerste keer dat dit soort troep in apps in de MAS zit. Het is al verschillende malen aan Apple gemeld, maar daar interesseert men zich er niet voor.

In het geval van Disk Clean Pro kun je het wat makkelijker herkennen omdat men is vergeten om de plist van TuneUpMyMac te verwijderen/maskeren.


Eerste echte malware op de App Store?
20 augustus 2016 - 17:07    reactie #17
geplaatst door: Flix

Citaat
cyrano om 15:46, 20-08-2016
Doe maar eens een zoek..
Tip: kijk naar de domeinnamen.

Top, joh. Jij poneert hier wat, en vervolgens mogen wij de achtergronden en onderbouwing bij elkaar gaan googlen?!
Eerste echte malware op de App Store?
20 augustus 2016 - 17:19    reactie #18
geplaatst door: boiing
@WaltervandeMeer: Interessant! Maar ook hier graag wat meer onderbouwing.. Als ik Disk Clean Pro installeer uit de Mac App Store (ik experimenteer graag, uiteraard op een test-mac :wink: ) dan wordt er géén TuneUpMyMac app op mijn Mac geïnstalleerd. Ik zie ook de .plist waar je naar verwijst, maar daar staan alleen text-strings in die door Disk Clean Pro worden gebruikt. Dat zegt helemaal niks, een .plist bestand is geen app. Ik heb geen systeemwachtwoord hoeven intoetsen, en kan Disk Clean Pro gewoon verwijderen. Er worden géén login items toegevoegd en vooralsnog zie ik niet dat er 'vanalles rondgesproeid is' in mijn systeem.

Ik ben de eerste om mijn ongelijk toe te geven, maar er wordt vanalles beweerd hier zonder verdere uitleg. Wat wordt er rondgestrooid? Welke login items? Wat is er mis gegaan op jouw systeem? De issue hier is dat de 'eerste echte malware in de Mac App Store' staat volgens cyrano. Toon het aan!

(EDIT): Malwarebytes vindt niets. Niet als Disk Clean Pro is geïnstalleerd en ook niet nadat het is verwijderd.

(Bewerkt door boiing om 17:31, 20-08-2016)

Eerste echte malware op de App Store?
20 augustus 2016 - 17:51    reactie #19
geplaatst door: WaltervandeMeer
Tsja, het was een beetje oneerlijk van mij. Deze crapware wordt waarschijnlijk tegengehouden door Xprotect. Wanneer die de goede updates heeft krijgt dit geen kans. Schakel Xprotext uit en je ziet dat mijn beweringen correct zijn.

Dan blijft natuurlijk het punt dat deze troep überhaupt niet in een MAS app zou mogen zitten.

Check achteraf of je de volgende bestanden ziet:

Applications/TuneupMyMac
Library/TuneupMyMac
Library/Application Support/TuneupMyMac
Library/Caches/com.tuneupmymac.TuneupMyMac
Library/Preferences/com.tuneupmymac.TuneupMyMac.plist
Library/Saved Application State/com.tuneupmymac.TuneupMyMac.savedState
/private/var/db/BootCaches/7C2CF0C8-4F08-41B3-BEB2-2F3051647646/app.com.tuneupmymacTuneupMyMac.playlist

(Bewerkt door WaltervandeMeer om 17:53, 20-08-2016)

Eerste echte malware op de App Store?
20 augustus 2016 - 18:04    reactie #20
geplaatst door: boiing
Oneerlijk? Je reinste flauwekul is het! Hoe schakel ik XProtect uit?! Ik wil het best proberen hoor maar volgens mij zit dat aardig in het systeem verankerd. En al je genoemde bestanden staan niet op mijn systeem na gebruik van Disk Clean Pro. Die horen zo te zien ook bij TuneUpMyMac, en nogmaals, dat staat niet in de Mac App Store en wordt ook niet door Disk Clean Pro geïnstalleerd. Bovendien: alsof een app die door Apple's eigen XProtect moet worden tegen gehouden in de App Store zou staan..

Kortom: je roept maar wat.

Eerste echte malware op de App Store?
20 augustus 2016 - 18:46    reactie #21
geplaatst door: WaltervandeMeer
Het is altijd vervelend om missers van je favoriete merk te moeten erkennen. Maar om tot een evenwichtig oordeel te komen moet je de tests onbevooroordeeld uitvoeren.

Xprotect kun je uitschakelen door b.v. de xprotect.plist te verwijderen en even de internetverbinding te blokkeren.

Of de folder te locken wanneer je de plists hebt verwijderd:
sudo chflags uchg /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/

Of verwijder XProtectUpdater uit /usr/libexec/ ook nu weer nadat je jouw huidige plists heb verwijderd of leeg gemaakt.

XProtect zit dus helemaal niet zo in het systeem verankerd dat je het niet zou kunnen uitschakelen.

Wacht nog even met flauwekul roepen en probeer het even uit. Ik hoor graag van je.

We kunnen ook even teruggaan naar zaken waar we het allebei over eens zijn: de aanwezigheid van de TuneupMyMac plist in de Resources folder van een app uit de MAS. Ik vindt dat niet mogen, maar jij hebt daar helemaal geen probleem mee?

(Bewerkt door WaltervandeMeer om 19:02, 20-08-2016)

Eerste echte malware op de App Store?
20 augustus 2016 - 19:25    reactie #22
geplaatst door: boiing
Niet nodig hoor. Als XProtect malware vindt krijg je netjes een waarschuwing ("appname" will damage your computer. You should move it to the Trash). En zegt dan ook welke malware er gevonden is. Jij beweert dat Disk Clean Pro wordt tegengehouden door XProtect en daarom niks schadelijks doet op mijn Mac. Maar ik krijg toch géén waarschuwing en kan het gewoon installeren, uit de Mac App Store?! Dus laat XProtect het gewoon door (omdat er niks mee aan de hand is). Ik vroeg je om uit te leggen wat er bij jou dan allemaal gebeurd is, welke bestanden en login items je op je systeem kreeg, maar daar heb ik nog geen antwoord op.

En v.w.b. dat laatste: nee dat lijkt me geen probleem. Als je in dat bestand kijkt zie je dat het helemaal niets met TuneUpMyMac te maken heeft, maar tekst-strings bevat die in de Disk Clean Pro interface worden gebruikt. Alleen de naam is ongelukkig, waarschijnlijk omdat het van dezelfde maker komt.

Tenslotte: ik ben (uiteraard) van mening dat TuneMyMac rommel is, en omdat Disk Clean Pro ook uit die stal komt zal ik het nooit gebruiken. Het is bedoeld om er geld mee te verdienen en heeft weinig praktisch nut. Maar dat is niet waar deze draad over gaat! Ik stoor me aan de titel van deze thread die vooralsnog niet is onderbouwd en nergens op slaat. En de onzinnige beweringen waar jij daarna mee kwam. :sigh:

(Bewerkt door boiing om 19:32, 20-08-2016)

Eerste echte malware op de App Store?
20 augustus 2016 - 19:29    reactie #23
geplaatst door: boiing
(Het begint op het draadje 'Mac security compleet naar de haaien!' te lijken, ook gestart door cyrano. Een titel die later wijselijk door de moderator werd aangepast)

:happy:

(Bewerkt door boiing om 19:31, 20-08-2016)

Eerste echte malware op de App Store?
20 augustus 2016 - 20:57    reactie #24
geplaatst door: pjottervmr
Even samen vattend voor iemand die er nieuw invalt zodat het ook voor mij duidelijk wordt?

Cyrano geeft een citaat weer waar hij na diverse verzoeken nog geen antwoord op heeft kunnen geven
In het citaat wordt iets beweerd over malware op de MAC
Er zijn twijfels door een aantal maccers maar die worden tegen gesproken door Waltervandermeer met als belangrijkste punt dat de malware werkt als je Xprotect zelf uitzet. (wat zeker niet standaard is)

Zelf geprobeerd om met mijn systeem dit probleem te herleiden en geen problemen geconstateerd en gevonden.

Ik wacht dus nog even op de info die normaal van cyrano moet komen maar ga tot die tijd er maar vanuit dat het een broodje aap verhaal is voor 99,99999% van de mac gebruikers. :biggrin: