Troijalainen MacOS X:ään

[slaakso]

Tulipa tuossa vastaan ensimmäinen troijalainen MacOS X:ään. (Trojalainen on siis haittaohjelma joka naamioituu toiseksi ohjelmaksi ja vaatii käyttäjän asentamisen aktivoituakseen). Tässä troijalaisen toiminta lyhyesti:

Tämä troijalainen tulee normaalina asennustiedostona nimeltään installer.pkg, jonka sisällä on muutama kryptattu skripti. Avattuna skriptit tekevät seuraavaa:

Paketti asentaa itsensä selaimen pluginiksi '/Library/Internet Plug-Ins/'-hakemistoon nimellä 'Mozillaplug.plugin'. Sieltä se aktivoituu ilmeisesti selaimen käynnistyksessä. Aina aktivoituessaan se tarkistaa että onko sen varsinainen haittakoodi asennettu koneelle crontabiin (käyttöjärjestelmä suorittaa crontabissa olevat komennot säännöllisesti). Jos ei ole, se asentaa haittakoodin rootin crontabiin.

Tämä varsinainen haittaosuus on sitten Perl-ohjelma, joka ottaa yhteyttä Latviassa olevalle palvelimelle. Palvelimelta ohjelma käy hakemassa komentoja, jotka kone suoritetaan käyttäjän koneella.

Jos haluaa katsoa onko ao troijalaista omalla koneellaan voi tarkistaa seuraavat asiat:
1) Onko koneella "/Library/Internet Plug-Ins/" -hakemistossa tuota Mozillaplug.plugin-ohjelmaa
2) Onko crontabissa asioita joita sinne ei ole laittanut (normaalisti MacOS X:ssä crontabissa ei ole mitään)

tuon crontabin voi tarkistaa komentorivin komennoilla:

Käyttäjän oma crontab:
$ crontab -l
root-käyttäjän crontab:
$ sudo crontab -l

Toki kun troijalainen toimiessaan suorittaa mitä tahansa hyökkääjän koodia, niin nuo ylläolevat ovat voineet muuttua. Noista voi nyt ainakin aloittaa.

Hyvä on huomata että myös MacOS X:lle voi haittakoodia kirjoittaa ja näköjään myös kirjoitetaan. Nettiä käyttäessään ja koneellensa ohjelmia asentaessaan kannattaa myös aina miettiä onko asennettava ohjelma luotettava.

--
Seppo

[MacFinn]

Mitä tuo installer.pkg väittää asentavansa?

Vai onko tämä joku niistä kolmesta tunnetusta?

[masa]

Alkuperäinen ketjun aloittaja ei laittanut mitään linkkejä mutta isoG löytää . http://ithreats.net/2008/12/26/how-to-r ... ss-trojan/

[slaakso]

Alkuperäinen ketjun aloittaja ei laittanut mitään linkkejä mutta isoG löytää . http://ithreats.net/2008/12/26/how-to-r ... ss-trojan/

Jep, tuo näkyy olevan saman troijalaisen variantti (tuossa tapaamassani ei tosin ollut noita I386:ää eikä cron.inst:iä). Etsin tuota verkosta mutta ei sattunut silmääni ihan tuota samaa. Hyvä että joku on jaksanut tehdä asiasta web-sivun.

--
Seppo

[masa]

Koskettaa lähinnä tyyppejä jotka latailevat crack, keygen yms. kyseenalaista kamaa. Toki se Safarin automaattinen tiedostojen avaus kannattaa pitää pois päältä ja käyttää sitä maalaisjärkeään kun asentaa ohjelmia. Eli onkohan tämä oikea ohjelma ja oikeasta lähteestä.

[slaakso]

Koskettaa lähinnä tyyppejä jotka latailevat crack, keygen yms. kyseenalaista kamaa.

Esim tässä tapauksessa käyttäjä oli saanut ohjelman koneelleen mielestään ihan harmittoman surffauksen aikana tietämättään, joten kyllä se koskettaa kaikkia käyttäjiä. Varovaisemmat toki pääsevät vähemmällä.

--
Seppo

[masa]

Koskettaa lähinnä tyyppejä jotka latailevat crack, keygen yms. kyseenalaista kamaa.

Esim tässä tapauksessa käyttäjä oli saanut ohjelman koneelleen mielestään ihan harmittoman surffauksen aikana tietämättään, joten kyllä se koskettaa kaikkia käyttäjiä. Varovaisemmat toki pääsevät vähemmällä.

--
Seppo

Olisko noin? Eli käyttäjä ei tehnyt mitään toimia kun hänen koneelleen tuli nämä tiedostot ja alkoi ottaa yhteyttä latviaan. En oikein usko. Kaikki tähän asti on vaatineet asentuakseen admin salasanaa..

[slaakso]

Olisko noin? Eli käyttäjä ei tehnyt mitään toimia kun hänen koneelleen tuli nämä tiedostot ja alkoi ottaa yhteyttä latviaan. En oikein usko. Kaikki tähän asti on vaatineet asentuakseen admin salasanaa..

Kyseessä oleva käyttäjä on aivan peruskäyttäjä. Hän ei varmaankaan eläessään ole asentanut yhtään ohjelmaa. Tämä olikin se tuurilla se syy minkä vuoksi trojalainen ei päässyt työpöytää pidemmälle. Käyttäjä oli ladannut troijalaisen normaalin surffauksen yhteydessä huomaamattaan. Uskoisin että myös Macin käyttäjissä on paljon sellaisia, joille moinen voi sattua.

--
Seppo

[masa]

Ahaa- siis se ei asentunut vaan tuli työpöydälle.. hyvä. Mutta olisko moinen tullut ihan surffaamalla eikä klikkaamalla jossain esim. lataa tästä taijotain.

[slaakso]

Ahaa- siis se ei asentunut vaan tuli työpöydälle.. hyvä. Mutta olisko moinen tullut ihan surffaamalla eikä klikkaamalla jossain esim. lataa tästä taijotain.

Peruskäyttäjälle surffaaminen ja klikkailu ovat sama asia. Tämän vuoksi nuo troijalaiset ovat uhka ihan tavalliselle Macin käyttäjälle. Samalla tavalla toimii suuri osa Windows-puolen haittaohjelmista.

--
Seppo

[masa]

Uskonpa kuitenkin ettei tämä peruskäyttäjä tainnut olla ihan iltasanomien sivuilla käymässä mistä tuon tiedoston sai..

[Cathi777]

Uskonpa kuitenkin ettei tämä peruskäyttäjä tainnut olla ihan iltasanomien sivuilla käymässä mistä tuon tiedoston sai..

Ja kyllähän nyt aina joku syy siihen klikkaamiseen pitäisi olla eikä vaan "vahingossa" ole jotain klikkaillut. Itselläni on juuri se kokemus, että peruskäyttäjät eivät ihan hevin klikkaile mitään outoa. Enkä minäkään usko, että ihan perussivuilta mitään tuollaisia troijalaisen sisältäviä ladattavia juttuja on tarjolla.

[securapple]

itse asiassa mitään linkkejä ei tarvitse paljon klikkailla, vaan riittää pelkkä (hyvämaineisellakin) sivustolla käynti riittää. Esim. joku mainoksia lähettävä palvelin on korkattu ja mainoksen sekaan on pistetty haittaohjelmaa tyrkyttävä javaskriptin pätkä. näin sitten jokainen ko. mainoksen lataava sivusto tyrkyttää tuota haittaohjelmaa.

-securapple

[Sikari-Sakari]

Eipä tästä saivartelusta (taas vaihteeksi) ole mitän hyötyä. Esim. onko jotain ohjelmia, millä tälläisten troijalaisten leviäminen estettäisiin, siitä tiedosta olisi hyötyä...

[slaakso]

Eipä tästä saivartelusta (taas vaihteeksi) ole mitän hyötyä. Esim. onko jotain ohjelmia, millä tälläisten troijalaisten leviäminen estettäisiin, siitä tiedosta olisi hyötyä...

Troijalaisia vastaan on kovin vaikea teknisesti suojautua, jos käyttäjä ei itse osaa olla varovainen. Kyseessä on kuitenkin lopulta ohjelma jonka käyttäjä itse asentaa. Paras tapa suojautua, on luoda tällaiselle käyttäjälle käyttäjätunnukset ilman ylläpitäjän oikeuksia. Se hieman rajoittaa troijalaisen toimintaedellytyksiä. Onneksi tuo uhka MacOS X:lle on vielä varsin rajattu.

--
Seppo

[Aaaron]

Vastaaviin tapauksiin on Windows-maailmassa paljon hoaxeja, joissa väitetään, että jokin käyttöjärjestelmään kuuluva tiedosto olisi virus ja kehoitetaan poistamaan se, joten jos virallisemmista lähteistä ei varoitusta tule, niin suhtautuisin hyvin suurella varauksella näihin.

MUOKS: Tästä siis ilmeisesti kyse: http://www.sophos.com/security/analyses ... hlava.html

[terosa]

Tälläistä uutisoi digitoday:

http://www.digitoday.fi/tietoturva/2009 ... 0/66?rss=6

[Sangreal]

kyseinen troijalainen ilmeisesti tulee photoshop cs4 mukana.
miten sitten voi tietää, että onko koneessa vai ei?

tietääks joku hyvän turvaohjelman jolla pitää mäcin puhtaana kun yhtäkkiä tulee vainoharhaiseksi. Itsellä on virusbarrel-turvaohjelma mutta taidan katsoa nortonilta josko löytyy toinen ihan varmuuden vuoksi...

[kallekilponen]

kyseinen troijalainen ilmeisesti tulee photoshop cs4 mukana.
miten sitten voi tietää, että onko koneessa vai ei?

Ei siis aidon vaan laittomasti hankitun mukana.

tietääks joku hyvän turvaohjelman jolla pitää mäcin puhtaana kun yhtäkkiä tulee vainoharhaiseksi. Itsellä on virusbarrel-turvaohjelma mutta taidan katsoa nortonilta josko löytyy toinen ihan varmuuden vuoksi...

Nortonin käyttö on paljon haittaohjelmaa varmempi tapa saada kone solmuun.