prvi virus za Mac

[kovacm]

Evo ga prvi virus za Mac:

http://www.securemac.com/boonana-bulletin.php

"ecureMac has discovered a new trojan horse in the wild that affects Mac OS X, including Snow Leopard (OS X 10.6), the latest version of OS X. The trojan horse, trojan.osx.boonana.a, is spreading through social networking sites, including Facebook, disguised as a video. The trojan is currently appearing as a link in messages on social networking sites with the subject "Is this you in this video?"

When a user clicks the infected link, the trojan initially runs as a Java applet, which downloads other files to the computer, including an installer, which launches automatically. When run, the installer modifies system files to bypass the need for passwords, allowing outside access to all files on the system."


dakle dovoljno je da se klikne na link, i virus je tu. dakle nije potrebno uneti admin pass da bi se virus instalirao na sistem, dovoljan je klik na link!

u sustini nije virus jer se ne siri sam, ali sa druge strane nije potrebno ni unositi admin pass da bi se inficirao sistem...

 

[Ben Dover]

To su napravili u Apple-u, da bi poceli da zaradjuju i na antivirus softveru koji razvijaju :d

 

[ilc]

Stvaraju trziste sebi, dobra taktika.
Mada jedan k'o ni jedan, morace malo vise da se potrude

 

[ivan90BG]

Ovo objašnjenje na koji način trojanac ulazi u računar mi deluje vrlo obskurno.

Šta se podrazumeva pod installer-om? Kako se to automatski pokreće? I od kud mu dozvole da brlja po sistemskim fajlovima. Ako je u pitanju Mac OS X instaler fajl (.pkg) on valjda traži administratorsku šifru da bi mogao išta da radi.

 

[driver]

Haha, how yes no :d

 

[MAD_MUzzY]

Upravo tako. Ne postoji operacija koja obuhvata bili kakav install a da ne trazi admin pass. O menjanju fajlova da ne pricam.

 

[Cwelle]

Ti onda klikni na taj video. :d

 

[kovacm]

ja bih kliknuo ali ne vidim link...

ako je java u pitanju, kakve privilegije ona ima?? i meni je neverovatno da moze da menja sistemske fajlove bez admin passa... stvarno bih voleo da probam taj virus

 

[milanbb]

Pitanje je kako se java izvrsava, na linuxima moze biti i root i kao tomcat npr.

Ja sam imao ovaj problem na Windowsu doduse, otvorio sam stranicu, pokrenula se java i eto virusa.

 

[kovacm]

evo sta se desava... bug je otkriven oko 20tog oktobra... http://securitytracker.com/alerts/2010/Oct/1024617.html

"A local user can create a per-user Java shared archive that, when loaded by the target user, will exploit a command injection flaw in updateSharingD to execute arbitrary commands on the target system with the privileges of the target user."

"Solution: The vendor has issued a fix (Java for Mac OS X 10.6 Update 3, Java for Mac OS X 10.5 Update 8)."

...ako je to to

 

[dooyo]

hehehe zanimljiva priča...

Bio je neki virus za Mac OS i odmah je izašao update koji ga leči. Taj update sam instalirao, a da o virusu nisam imao pojma... FB i ostala s***a ne koristim, a i kada koristim na slične linkove ne klikćem. Baš nisam u toku...

 

[ironmanbg]

Ponovo se vracam na neodgovoreno pitanje. Da li moze particija/hard na kojoj je instaliran OS X-SL da se skenira antivirusom iz Wina, da li je taj antivirus uopste delotvoran na OS X, jer nije pisan za isti, i da li nece da zezne sistemske fajlove?

 

[Cwelle]

Ne mozes da mesas babe i zabe.

 

[gile23]

Jako cudno, sto neko rece gore, mozda ga je i Apple napravio, pa hoce da prodaje antiviruse .

 

[kovacm]

Jako cudno, sto neko rece gore, mozda ga je i Apple napravio, pa hoce da prodaje antiviruse .

nije Apple Microsoft ,) (doduse ovaj drugi cak i deli besplatno antivirus koliko je za***** stvar...)

a to i ja kazem: antvirusne kompanije vec godina pricaju kako je Mac OS X nebezbedan, tempirana bomba.... plase korisnike a mogli su do sada makar jedan virus da napisu kako bi naterali Mac korisnike da razmisljaju o antivirus programu.

Ovako, antivirus na Macu je bukvalno samo jos jedna potencijalna rupa za malware i nista vise (antivirus software obicno mora da ima admin privilegije tako da ako antivirus ima neki bug virus bi preko njegove rupe mogao da ugrozi OS).

 

[ironmanbg]

Malo sam googlao i nema skoro nista na ovu temu, eventualno skeniranje Windows particije iz Os X, ali

The virus database is the same, so both versions scan for all malware.

http://forum.avast.com/index.php?topic=47427.0

 

[kovacm]

@ironmanbg zasto uopste hoces da skeniras Mac OS X HFS+ particiju sa Windows antivirus softwareom?

za to multiplatformsko skeniranje imas Clam.

 

[morbius]

Da te ispravim, nije ovo prvi virus za MacOS X, čak nije ni prvi ovog tipa, bilo je sličnih samoinstalirajućih virusa i ranije, pisao sam o njima još dok sam radio za Benchmark, ima od tad dugo.

Stvar je u tome što bi Mac OS morao da po defaultu koristi već ugrađeni sandbox API da izoluje browser, recimo Chrome čak izoluje svaki tab ponaosob, dok je Safari širom otvoren. Sandboxing ugrađen u kernel je jedna od dobrih stvari koje je Mac OS nasledio iz BSD-a, ali to je kao da imaš blindirana vrata koja zaboraviš da zaključaš. Dosad se Apple oslanjao na malu zastupljenost svog OS-a, ali ako žele da nastave da se hvale kako su bezbedni moraće da se više potrude.

 

[yooyo]

Virusi, kao i jailbrejkeri koriste razne tehnike da izvrse program pod root privilegijom. To sto postoji sandbox uopste ne mora da znaci da je korisnik siguran, jer se sigurnost ogleda u tome koliko je implementacija sandboxa bezbedna.
Najcesci exploiti su buffe overflow. Npr.. ako browser ima ogranicen buffer za URL adresu a neko napravi URL koji je veci od tog buffera, onda moze da se desi da URL adresa prepuni buffer i pocne da se upisuje u memorijske lokacije iza buffera, sto izaziva crash aplikacije. Medjutim, ako se URL adresa formatira tako da se u visku koji prepisuje nalazi specijalno napravljena sekvanca bajtova, prepunjavanje buffera nemora da izazove crash vec ce program nastaviti dalje da radi. Ali.. u toj sekvenci bajtova se nalazi i mali program (tzv. payload) koji ostaje u memoriji browsera, samo sto se jos ne izvrsaava. Pored zlonamernog code-a tu se nalaze i neki podaci. Autor virusa zna za koju verziju browsera je pravio exploit i zna sta se nalazi na lokacijama iza buffera za URL adrese, te moze da postavi neke svoje podatke koji ce usmeriti izvrsavanje aplikacije na njegov code. Kada se jednom pokrene (payload) ucitava ostatak virusa i dalje pokusava da iskoristi neku rupu u sandboxu ili kernelu da bi se izvrsio pod root privilegijama.

U ovoj prici mozete sobodno da zamenite URL adresu sa bilo kojim drugim podatkom (slika, zvuk, ...), a browser sa bilo kojim drugim browser pluginom. Jednnostavno, gde god ne postoji provera upisa u buffer, to je sigurnosa rupa.

Npr, slican trik je koriscen za JB iOS 4.0 i 4.0.1 pomocu http://jailbreakme.com. U ovom slucaju, napali su PDF plugin u browseru, tj. biblioteku koja je ucitavala embedovani font u PDF-u.
"Hakeri" uspevaju da JB svaki iOS do sada, zasto ne bi mogli i OSX koji je dosta kompleksniji i samim tim ima vise rupa. Samo treba da se stvori dovoljna baza zaludjenika koji zele da presele viruse i trojance na OSX.

Elem.. poenta price je da je sigurnost OSX-a u stvari.. mit i legenda.

 

[kovacm]

Da te ispravim, nije ovo prvi virus za MacOS X, čak nije ni prvi ovog tipa, bilo je sličnih samoinstalirajućih virusa i ranije, pisao sam o njima još dok sam radio za Benchmark, ima od tad dugo.

interesantno. nikada nisam do sada cuo sa samoinstalirajuci virus na Macu... jedino sto znam za nekih 5-6 trojanaca, a i intego za ovaj kaze da nije samoinstalirajuci vec da trazi dozvolu korisnika. http://www.intego.com/news/trojan-horse-os-x-koobface-a-affects-mac-os-x.asp

Stvar je u tome što bi Mac OS morao da po defaultu koristi već ugrađeni sandbox API da izoluje browser, recimo Chrome čak izoluje svaki tab ponaosob, dok je Safari širom otvoren.
Sandboxing ugrađen u kernel je jedna od dobrih stvari koje je Mac OS nasledio iz BSD-a, ali to je kao da imaš blindirana vrata koja zaboraviš da zaključaš. Dosad se Apple oslanjao na malu zastupljenost svog OS-a, ali ako žele da nastave da se hvale kako su bezbedni moraće da se više potrude.

evo i teksta ne temu o kojoj pricas: Google: sandboxing for Chrome on Mac OS X a piece of cake

"Google's Chrome browser is most known for its unique approach to security, whereby each tab in the browser is handled by a separate, sandboxed process."

Elem.. poenta price je da je sigurnost OSX-a u stvari.. mit i legenda.

...
"On Windows, Google had to effectively engineer its own sandboxing facilities. "On Windows, getting a process sandboxed in a way that's useful to us is a pretty complicated affair," wrote Chromium engineer Jeremy Moskovich is a recent blog post."


mada mi je prosto neverovatno da Apple ne iskoristi sandboxing i za Safari

 

[manfromearth]

google-sandboxing-for-chrome-on-mac-os-x-a-piece-of-cake.ars"]Google: sandboxing for Chrome on Mac OS X a piece of cake[/URL]

stetao samo sto je 3 koplja losiji od chroma za windows mada jos uvek nisam nasao browser koji moze da se meri sa ekvivalentom na windowsu, nazalost :wall:

 

[ivan90BG]

Znači da bi taj malware ušao preko Jave mora da se klikne na Allow, a onda se pokreće Installer fajl (kao što sam i mislio). Ali ne piše da li ta instalacija ide automatski. Pošto piše da treba zatvoriti taj Installer, to verovatno znači da ne ide automatski nego (kao što sam i mislio) uz asistenciju korisnika.

Ako ne može sam bez pomoći korisnika (u više navrata) da se širi onda nije nikakva pretnja (bar za informatički obrazovane osobe). Ali pošto je Apple to već sredio verovatno nikad neću ni videti taj prozor za konfirmaciju. Mada ja ni ne korostim Facebook (imam account i to je sve).

 

[e6111]

Mada ja ni ne korostim Facebook (imam account i to je sve).

nista vise od accounta nije ni potrebno da bi koristio facebook.

izabrali su facebook za sirenje virusa, ali isto tako je mogao biti na bilo kom drugom sajtu.

elem, ako zaista zahteva neki vid konfirmacije od strane korisnika, to je onda siva zona.

 

[ivan90BG]

E da vam kažem, ja sam se već sretao sa ovakvim malwerima koji se šire preko interneta na sličan način. U pitanju je bio neki koji se širi preko Windows Live Messangera. Jednom sam s vremena na vreme dobijao po jednu poruku od poznate osobe (uvek iste) sa nekim linkom ka "videu". Nikad nisam kliknuo jer se odmah videlo da to nije legitimna poruka od te osobe, već da joj je računar zaražen nekom gamadi. Takođe ponekad dobijem i ponude da dodam nekog u kontakte iz čijeg username-a se vidi da je nepoznata osoba. Nekad odbijem, a nekad prihvatim pa blokiram kad vidim da mi ne šalje ništa. (tako da, ako hoćete da me kontaktirate preko IM-a pošaljite mi prvo PM na forumu )