Skocz do zawartości

Witaj!

Zaloguj lub Zarejestruj się aby uzyskać pełny dostęp do forum.

Zdjęcie
- - - - -

WAŻNE! - Odkryto Mac Trojan Horse


  • Zaloguj się, aby dodać odpowiedź
43 odpowiedzi w tym temacie

#1 imielski

imielski
  • 373 postów

Napisano 28 października 2010 - 11:49

Trojan rozsiewany jest przez portale społecznościowe i e-mail informację podaje za portalem osxdaily

[url=http://osxdaily.com/2010/10/27/mac-trojan-horse-discovered-boonanakoobface/]Mac Trojan Horse Discovered: Boonana/Koobface[/url]

#2 virgin71

virgin71



  • 12 562 postów
  • SkądWrocław

Napisano 28 października 2010 - 16:30

i co jest tu ważne? kolejny koń, który wymaga podania hasła administratora. Jak mi podasz hasło administratora, to też Ci wykradnę dane...

#3 528eae9968

528eae9968
  • 7 222 postów
  • Płeć:

Napisano 28 października 2010 - 16:39

podobno napisany jest w javie i działa na kilku platformach ;)

#4 Therioon

Therioon
  • 4 281 postów
  • SkądZ brzucha:)

Napisano 28 października 2010 - 16:53

macie tutaj antidotum jak załapaliście: http://www.macupdate...se-removal-tool
ciekawy jest ten trojan :)

#5 macieks72

macieks72

  • 9 873 postów

Napisano 28 października 2010 - 17:52

i co jest tu ważne? kolejny koń, który wymaga podania hasła administratora. Jak mi podasz hasło administratora, to też Ci wykradnę dane...


To się chyba instaluje na koncie użytkownika.

#6 ftpd

ftpd

    Nie.


  • 23 773 postów
  • Płeć:
  • SkądPoznań

Napisano 28 października 2010 - 17:53

No, ale w pewnym momencie jest sudo ;-)

#7 macieks72

macieks72

  • 9 873 postów

Napisano 28 października 2010 - 17:54

A po co sudo skoro instaluje sie na aktualnym koncie? Z tego co zrozumiałem wyskakuje standardowy alert Javy, jak zaakceptujesz to już masz badziewie. Nie potrzebuje praw roota bo się pewnie w ~/ gdzieś instaluje i startuje wraz z logowaniem na to konto.

#8 ftpd

ftpd

    Nie.


  • 23 773 postów
  • Płeć:
  • SkądPoznań

Napisano 28 października 2010 - 18:03

A, no. Nie doczytałem.

#9 trenneman

trenneman
  • 845 postów

Napisano 28 października 2010 - 18:32

Chyba wywalę Maki przez okno, kolejny okrutny trojan? Toż to zgroza ;) A poważnie to mam nadzieję, że nie będzie tego przybywać w takim tempie, perwsze półrocze - jeden trojan, drugie półrocze - dwa trojany... :D

#10 virgin71

virgin71



  • 12 562 postów
  • SkądWrocław

Napisano 29 października 2010 - 09:26

Z tego co zrozumiałem wyskakuje standardowy alert Javy, jak zaakceptujesz to już masz badziewie. Nie potrzebuje praw roota bo się pewnie w ~/ gdzieś instaluje i startuje wraz z logowaniem na to konto.

przecież wyświetla się potwierdzenie autoryzacji niepodpisanego certyfikatu, który trzeba zatwierdzić hasłem admina...

#11 wojtkow

wojtkow


  • 6 767 postów
  • Płeć:
  • SkądPoznań

Napisano 29 października 2010 - 11:12

Chyba wywalę Maki przez okno, kolejny okrutny trojan? Toż to zgroza ;)
A poważnie to mam nadzieję, że nie będzie tego przybywać w takim tempie, perwsze półrocze - jeden trojan, drugie półrocze - dwa trojany... :D


Policz sobie co będzie za dwadzieścia lat... a za sto... :D

#12 imrik

imrik
  • 3 471 postów
  • SkądWrocław, Poland

Napisano 29 października 2010 - 11:15

Tak czy siak, osobiście, uważam że jest to najgroźniejszy szkodnik jaki do tej pory powstał na Mac OS. Najgroźniejszy jeśli chodzi o to jak może nakłonić użytkownika na pozwolenie instalacji go. Owszem, musimy podać prawo roota, ale w tym konkretnym przypadku użytkownik spodziewa się takiego prompta. Dla jasności: To nie jest sytuacja gdy otwieramy pliczek PNG albo MOV i system nagle prosi o hasło admina, albo gdy ściągamy oprogramowanie z torrentów zamiast prosto od producenta, albo klikamy na filmik we flashu i ściąga nam się "codec.dmg" - te sytuacje są podejrzane bo nie są standardowym zachowaniem, tylko ktoś kompletnie nieświadomy zagrożenia się może na coś takiego złapać. Tutaj wchodzimy na stronę z linka od znajomego na twitterze czy FaceBooku i java prosi o zaufanie niepodpisanemu certyfikatowi, co zdarza się bardzo często i jest jak najbardziej "normalne", w każdym razie dla zwykłego średnio uświadomionego usera. Jest wysoce prawdopodobne, że zaufa takiemu certyfikatowi. Kurde balans, sam bym się na to mógł złapać - pamiętam do tej pory jak javowy sprawdzacz hasła na CISCO nie miał podpisanego certyfikatu przez spory kawałek czasu i trzeba było akceptować ten certyfikat. Do czego zmierzam? Skoro tak wielka i godna zaufania korporacja jak CISCO potrafi niepodpisywać certyfikatów na swoich stronach to dlaczego miałby to robić jakiś serwisik do umieszczania filmów? Robak wykorzystuje to, że dzisiaj zlewa się z góry na dół certyfikaty, za równo od strony usera jak i od strony twórcy aplikacji webowej. Pomijam zupełnie milczeniem fakt, że samo certyfikowanie jest słabym zabezpieczeniem bo opiera się na zasadzie "czy ja na pewno ufam wystawcy certyfikatu" - to jest temat na osobną dyskusję. Odsuwając to wszystko na bok dochodzi kolejny aspekt - java i jej system ujednoliconych uprawnień - jak już się jej na coś pozwoli to hulaj dusza, diabła nie ma. Od zawsze było to zagrożeniem i jest nadal, ficzer okazał się ogromną luką w zabezpieczeniach już wiele lat temu, kiedy javę exploitowało się głownie na telefonach komórkowych. Co jest zastanawiające? Że java w Mac OS, nawet po nadaniu uprawnień, może wykonać kod, który nadpisze systemowe mechanizmy - zainstalować rootkita, backdora , commanda, controla czy zmodyfikować standardową procedurę systemu dotyczącą proszenia o hasło admina. OWszem, ktoś mógłby powiedzieć "skoro ma prawa roota, to czemu nie" - ja odpowiem, ale java to java, coś co na Mac OS powinno być trochę z boku, raczej odizolowane od systemu. Pomijam "genialny" system uprawnień javy, który jest tak jednolity jak serek homogenizowany - jak ma uprawnienia jedna rzecz, mają je wszystkie.

#13 macieks72

macieks72

  • 9 873 postów

Napisano 29 października 2010 - 12:26

przecież wyświetla się potwierdzenie autoryzacji niepodpisanego certyfikatu, który trzeba zatwierdzić hasłem admina...


Jesteś pewny?

#14 virgin71

virgin71



  • 12 562 postów
  • SkądWrocław

Napisano 29 października 2010 - 13:13

99% :)
niepodpisany certyfikat odrzuciłem, więc głowy nie dam. Ale trzeba podać gdzieś hasło w tym trojanie, a to był pierwszy możliwy moment. Inaczej nie da rady pozmieniać plików systemowych.

czy ja na pewno ufam wystawcy certyfikat

prawidłowego certyfikatu nawet nie widzisz, więc jest to rozwiązanie - system Cię nie poinformuje w tym przypadku o certyfikacie

---------- Wpis dodano o 14:13 ---------- Poprzedni wpis dodano o 14:11 ----------

OWszem, ktoś mógłby powiedzieć "skoro ma prawa roota, to czemu nie" - ja odpowiem, ale java to java, coś co na Mac OS powinno być trochę z boku, raczej odizolowane od systemu.

I tutaj się zgadzam, to powinno w jakiejś piaskownicy działać.

#15 macieks72

macieks72

  • 9 873 postów

Napisano 29 października 2010 - 13:14

Inaczej nie da rady pozmieniać plików systemowych.


To jest oczywiste, pytanie tylko czy on zmienia pliki systemowe. Może przy akceptacji certyfikatu coś tam potrzebuje zmienić, a tego właśnie nie jestem pewien i dlatego pytam ;)

#16 Roberto

Roberto
  • 13 752 postów
  • SkądWrocław

Napisano 29 października 2010 - 13:26

bo to dziura w javie jest po prostu.
java przecież z definicji działa w piaskownicy o ile się nie mylę?


Do czego zmierzam? Skoro tak wielka i godna zaufania korporacja jak CISCO potrafi niepodpisywać certyfikatów na swoich stronach to dlaczego miałby to robić jakiś serwisik do umieszczania filmów?
Robak wykorzystuje to, że dzisiaj zlewa się z góry na dół certyfikaty, za równo od strony usera jak i od strony twórcy aplikacji webowej. Pomijam zupełnie milczeniem fakt, że samo certyfikowanie jest słabym zabezpieczeniem bo opiera się na zasadzie "czy ja na pewno ufam wystawcy certyfikatu" - to jest temat na osobną dyskusję.

Czy CISCO czy inne wielkie i godne zaufania korporacje używają certyfikatów self signed?

#17 ftpd

ftpd

    Nie.


  • 23 773 postów
  • Płeć:
  • SkądPoznań

Napisano 29 października 2010 - 13:28

A może darujemy sobie offtop?

#18 Therioon

Therioon
  • 4 281 postów
  • SkądZ brzucha:)

Napisano 29 października 2010 - 13:55

ten wirus nie potrzebuje naszego hasła i dlatego jest taki groźny

#19 virgin71

virgin71



  • 12 562 postów
  • SkądWrocław

Napisano 29 października 2010 - 15:11

Therioon, skąd wiesz, że nie potrzebuje? Bo zmienia pliki systemowe.

Czy CISCO czy inne wielkie i godne zaufania korporacje używają certyfikatów self signed?

nikt poważny nie używa takich certyfikatów:)

#20 Roberto

Roberto
  • 13 752 postów
  • SkądWrocław

Napisano 29 października 2010 - 15:51

otóż to - więc jak ktoś mi każe akceptować self signed to powinienem się co najmniej 3 razy zastanowić ;] dlatego nie powiem, żeby to była taka typowa sytuacja ;)

#21 Therioon

Therioon
  • 4 281 postów
  • SkądZ brzucha:)

Napisano 29 października 2010 - 18:08

być może to jest ten moment kiedy platforma mac zacznie być częściej atakowana

#22 olafejs

olafejs
  • 1 035 postów
  • SkądPoznań, PL

Napisano 29 października 2010 - 18:10

A tak z czystej ciekawości są jakieś skanery antywirusowe online dla mac ?:)

#23 Therioon

Therioon
  • 4 281 postów
  • SkądZ brzucha:)

Napisano 29 października 2010 - 18:12

nie ma chyba :(

#24 Roberto

Roberto
  • 13 752 postów
  • SkądWrocław

Napisano 29 października 2010 - 18:26

Jesteś pewny?

tak, podczas autoryzacji certyfikatu trzeba podać hasło.
na 100% ;]

to są nadal "wirusy" (jak widać to jest trojan, robak i backdoor w jednym) socjotechniczne proszące o hasło admina.

#25 imrik

imrik
  • 3 471 postów
  • SkądWrocław, Poland

Napisano 30 października 2010 - 12:33

Czy CISCO czy inne wielkie i godne zaufania korporacje używają certyfikatów self signed?


Nie wiem, nie wnikałem w to - robiłem szkolenie CCNA i musiałem się logować na egzaminy i by móc skorzystać z materiałów szkoleniowych - pamiętam dokładnie, że wyskakiwał komunikat o niezaufanym czy przeterminowanym certyfikacie i prowadzący zajęcia mówił "żeby się nie przejmować i klikać OK".

Historia autentyczna i z autopsji, więc sam sobie możesz odpowiedzieć na swoje pytanie ;)




Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych