Új OS X trójaira figyelmeztet az Intego Security

macOS

A Intego Security arra figyelmeztet, hogy új OS X trójai bukkant fel a napokban és terjed elég szép ütemben az warezt meg nem vető OS X felhasználók körében. Az OSX.Trojan.iServices.A a filemegosztó hálózatokon felbukkant Apple iWork 09 csomaggal együtt érkezik a warezolók gépére.

A irodai programcsomag telepítésével együtt a felhasználó az iWorkServices névre hallgató csomagot is telepíti. Innentől kezdve egy service indul az áldozat gépén, amely értesíti a malware fejlesztőjét a trójai településéről és lehetővé teszi a támadó számára, hogy az különböző műveleteket hajtson végre távolról. A trójai a települése után további komponenseket tölthet le és telepíthet a fertőzött gépre.

A biztonsági cég jelzése szerint eddig mintegy 20 000 ember töltötte le január 22-ig a malware-rel megpatkolt warez iWork 09-et.

Az, hogy malware települhet bármely gépre felhasználói segítséggel nem hír. Az azonban mindenképpen elgondolkodtató, hogy az Apple mennyire hibás a felhasználók felelőtlen magatartásának kialakulásáért abból kifolyólag, hogy reklámjaiban azt sugallja a felhasználóinak, hogy Mac OS X alatt nem nagyon kell tartani a malware fertőzésektől.

A részletek a bejelentésben és a WP Security Fix rovatában.

( foxpaw | 2009. 01. 25., v – 15:51 )

Nesze neked Apple & féregmentesség... :-)

Összeesküvés elmélet: vajon ezt a trójait egy antimalware szoftver fejlesztője írta? :-)

Amúgy meg:
1: Aki azt hiszi, hogy az OS X sebezhetetlen az megérdemli (az más kérdés, hogy az Apple kedvenc marketing dumája az, hogy az OS X hű de vírus és féregmentes)
2: Aki warezol az is megérdemli

**************
yes > /dev/null

Én szerintem az az első érv, hogy "nyílt, ingyenes"... :-)

De valóban a vírusmentesség egy elég rossz érv, minden kevésbé elterjedt oprendszer vírusmentes gyakorlatilag... Jöhetne egy lista a vírusmentes oprendszerekről: Haiku, MenuetOs, Minix... Használj Minix-et, mert erőforrástakarékos, gyorsabb mint a Vista és nincsen alá vírus! :-D

**************
yes > /dev/null

Én is használok ilyesmit, nem warezolok, nem p2p-hez, futtatok cron-ból minden reggel rkhunter-t, integritás-ellenőrzőt, csak megbízható forrásból telepítek, de azért - ennek ellenére - is benne van a pakliban, hogy beszív az ember valamit. Ezért kérdeztem. Nem támadás volt, csak kíváncsi voltam, hogy másban is felmerül-e néha a kétség.

--
trey @ gépház

Kétség - folyamatosan. Bár Linux alatt azért kicsit nyugodtabb vagyok. Főleg mert a megkérdezésem nélkül nem nyit meg levélbombákat. :-)

Pár napja találkoztam először személyesen a pendrive-os vírusokkal és meg is lepődtam. Persze linux alatt nem gáz, de csodálkoztam, hogy miért van autorun.inf és egy .com a pendrivemon. Persze egy nappal előtte nyomtattatam egy pdf-et róla valahol, onnan került rá. Na ennyivel biztonságosabbnak érzem a linuxot, hogy alapértelmezettben nincs olyan, hogy "autorun és ezt elindítom neked anélkül hogy tudnád mi is az"...

Még jó pár éve windows 98 alól neteztem 56.6 K-s modemmel és az volt az "öreg hiba", hogy telepítés után netre mentem hogy leszedjek egy (ingyenes) tűzfalat+vírusírtót amivel aztán netezni tudok "biztonságosan". Hát volt, hogy mire leszedtem már be is jött valami kukac.
Ó a régi szép idők, aztán mennyit netscapeltem aztán mozilláztam míg egyszercsak megjelent a Firefox... Van mit mesélni az unokáknak... :-D

**************
yes > /dev/null

( vomberg | 2009. 01. 25., v – 19:01 )

Már bocsánat... de ha root-ként az apt-get install-al felrakok egy csomagot ami nem verifikált (azaz valami külső csomag, nem a központi repoból), akkor mit is csodálkozok azon, hogy bármi is feltelepül vele együtt?

A Linuxnak is ez lesz a halála, hogy egy rakat:
- warez
- köponti repoban - pl liszensz problémák miatt - nem szereplő
- jópofa
- játék
program jelenik meg szabadon letölthetően. Kint van egy jo_jatek.deb csomag, rákattint a kedves user, a csomagkezelő kéri a root jelszót, a kedves user meg is adja mert a Linuxot nem fertőzi a vírus és már be is szopta és durvább zombigép lesz a rendszeréből mint bármelyik windowsos ratyadék "pistike-gép".

Ehhez az kell, hogy a szoftver és féregfejlesztők lássanak elég nagy piacot a linuxban. Arról nem beszélve, hogy a linux abszolút nem szabványos, szóval a jojatek.deb lehetne akár jojatek.rpm is... Talán ha lesz szabványos linux legalább 10-20% piaci résszel majd akkor fog ez talán aktuális problémává válni.

**************
yes > /dev/null

Nem kell ehhez semmi szabvány, a malware rohamot csak a Linux kis elterjedése állítottotta meg máig:
A deb vagy rpm helyett lehet jojatek.sh, benne az 50. sortól egy tar file: a "külsős" telepítőket sokszor így oldják meg már most is... GNOME megkérdezi futtassa-e terminálban execute jogtól függetlenül, a script kéri a rendszergazda jelszót, és onnantól az övé a gép.

Akár a legegyszerűbb, rendszerindításkor binárisként induló malware is rohadt gyorsan terjedhet, userke nem fogja elolvasni és soronként értelmezni a configokat, hogy kiszűrje, mi gyanús. Főleg mert azt se tudja, hol keresse, meg mit. Akár /usr/bin/spambot is lehet a bináris neve, az orra előtt se fogja meglátni, az ezer "fura" nevű file közt (ha egyátalán azokra rátalál).
A GUI rendszerbeállítók a lehetőségek minimális részét mutatják csak meg, azt, amire esély van hogy piszkálni kell kevésbé hozzáértőnek is (pl. /etc/inittab szerkesztés egyikben sincs, egy rootként lefutó script viszont nyugodtan beletehet egy sort - kész a "tökéletes, észrevétlen, kilőhetetlen" malware)
Nincs annyi init rendszer forgalomban (3 talán?), hogy ne lehessen egy case elágazással a desktop disztrok 99,99%-át lefedni.

Ahogy nő a piaci részesedés és ezzel a laikus felhasználók száma, ugyanolyan potenciális célpont lesz mint a Windows (ahol szintén a laikus, minden szrt gondolkodás nélkül adminként futtató felhasználók okozzák a legtöbb biztonsági problémát)

szerk: a disztrok "sokszínűsége", több platform és library-verzió inkompatibilitás sem érv, static x86 binary szintén elég 99,99% fertőzéséhez. A maradékra meg úgysem éri meg az energiabefektetés.

Ez leginkább a OpenSuse-nél fordulhat elo, ott van a One-Click installer, ami egy elég nagy baromság, remélem más disztró nem koveti ezt a rossz példát.

Most is lehetne ilyesmi Linuxra, van warez Nero Linux, Vmware, más nem jon eszembe. :)

MacOSX-re meg tengernyi warez prog van neten, játékok is.

"ott van a One-Click installer, ami egy elég nagy baromság"
Végülis minden ember (ideértve a nem informatikusokat is) vágya, hogy kézzel adogasson repókat hozzá és onnan kézzel csomagokat telepítsen ahelyett, hogy egy jelszó beáírása és 1-2 next gomb után már indíthassa is a kiválasztott alkalmazást.

"Ubuntu" is an African word meaning "I can't figure out how to configure Slackware"

Linuxra is van minden fizetős programból warez verzió (cedega, matlab, cxoffice, maya, játékok, stb) csak mivel önmaguk a kereskedelmi szoftverek vannak kevesen ezen a platformon, nem annyira szembeötlő egy torrent vagy ftp listát böngészve.

One-Click Install - nem ezen múlik, hanem a felhasználó gyanakvásán - gyakran azt sem tudja, léteznek malwarek, vagy pedig mire jók/hogy terjedhetnek; crack.exe-t, pornó "letöltőprogramot" gondolkodás nélkül elindít. Ilyen *még* nincs Linuxra. De tudod, "az ellen nem véd".

És természetesen, amit a user elindíthat, el is indítja. Amit elindít, az pedig potenciális veszélyforrás.

( turdus | 2009. 01. 26., h – 11:58 )

Milyen jó, hogy eddig minden OSX telepítést úgy kezdtem, hogy leszedtem az összes ilyen szemetet, mint a GarageBand, ichat meg az iWork (nyertem pár 10 gigát kapásból). Olyanokat raktam a helyükre, mint pl mplayer, audacity, audium, neooffice stb, és lám-lám, nem is volt gondom még soha :-D

Aki warezol egy olyan rendszeren, ahol elérhető opensource alternatíva, meg is érdemli a vírust!!! (gonosz nevetés) :-)

A linux is azért vírusmentes szvsz, mert opensource, így a kiskapukat gyorsan betömik. Az nem érv, hogy kevesen használják, mert szervereken sokkal elterjedtebb, mint bármi más!

Linux sem virusmentes. Kb. ugyananyi mal- es egyeb ware van ra, mint osx-re. Sot, meg vms/alpha-ra is akad firg. Inkabb annak kell orulni, h ez hir, es nem az, h milyen botnetet hoztak ossze mar megint. A tobbi mondanivalod siman csak a "rotfl" kategoriaba esik.

---
pontscho / fresh!mindworkz

Bocsi, de aki szervert uzemeltet, az igencsak megnezi, mit tesz fel, mert az allasa fugghet tole. Egy otthoni user viszont nem nezi meg, es pont ez a gond. Lehetne azzal ervelni, hogy a Mac is milyen rohadt biztonsagos, mert tobbtucatnyi Mac Server szaladgal Amerikaba, aztan megis ez van, ami.

Igazabol a gond az, hogy az opensource cuccok nem mindig adnak 100%-os megoldast. Pl. Windowsra is van AbiWord meg OOo is, megis kenyszeru vagyok MS Office-t is felpakolni (cegest termeszetesen, miert?), mert sok fajlt egyszeruen nem hajlando megnyitni, vagy nem jol kezeli a nyilt forrasu alternativa. Szoval a nyilt forras sem mindenhato.

Arrol nem beszelve, hogy az nem erv, hogy azert biztonsagos, mert nyilt forrasu. Te mikor elemezgetted utoljara sorrol-sorra barmilyen cucc forrasat? Meg soha? Honnan tudod, hogy akar a kedvenc zenelejatszodba nincs valami trojai backdoor? Mert megbizol a fejlesztojeben? Itt minden csak bizalom kerdese.
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

Bocsi, de aki szervert uzemeltet, az igencsak megnezi, mit tesz fel, mert az allasa fugghet tole

Es emlekszunk meg a Red Har szerverekre kihegyezett firgekre, ugye? :) El kellene mar felejteni, h azert biztonsagosabb valami, mert nyilt. Igen, segit benne, de _nem_ ez a nyitja, hanem a folyamatos monitoring es a jol kidolgozott es betartott uzemeltetesi szabalyzat a szakertelem mellett. E mellett az mar tok mindegy, h hobbi desktop 2009, vagy uberszerver 3000-rol van szo.

---
pontscho / fresh!mindworkz

Szerintem abszolút. Ha megbízható forrásból telepítesz, akkor majdnem teljesen védve vagy a vírusoktól. Egy jó tűzfal tovább növeli a védelmet, meg az se rossz, ha nem rootként használsz egy rendszert. Persze még így is becsúszhat valami, mondjuk itt jön ki az, hogy a windows elterjedtebb és több vírust írtak rá.

Szerintem az, hogy egy sw opensource-e, az nem számít. De az opensource programoknak általában van egy hivatalos honlapjuk, ahonnan a fejlesztők által lefordított programot töltheted le. Míg bizonyos freeware programoknak nincs hivatalos honlapja, azok felpakolják a telepítőket ilyen programmegosztó siteokra, és lehet, hogy a sokadkézből felkerülő bináris már vírusos lesz. De ha nem opensource egy program, de a hivatalos siteról töltöd le, akkor majdnem biztos, hogy nem lesz vírusos.

( saabi v | 2009. 01. 26., h – 16:02 )

Az is marha, aki torrenten tölti le az iWork '09-et. Mivel az letölthető szépen az apple.com-ról is. Aztán már csak egy serial kell...
Amúgy meg megvenni se drága. (diákoknak 15KHUF, a többieknek 19)

Ave, Saabi.

Hát nekem pedig a natív openoffice az, ami egy mac vásárlását egyáltalán elképzelhetővé teszi. Megszoktam StarOffice 5.2 óta, nem szívesen szoknék át a teljesen más felületet használó alternatívákra, nem beszélve a dokumentumaimról, amik ODF-ben vannak egytől egyig. Azt meg ugye nem támogatja az iWork.