MACDefender- taas uusi troijalainen

[securapple]

Lisätietoa tihkuu asiasta.

MacDefendef/Guard ym. on tehty ammattimaisesti. Tässä on applella todella haastetta.

Eli itse asennus/huijaus -ohjelma on varsin pienikokoinen. Se lataa huijaavan ohjelman netin kautta, näin itse huijaavaa ohjelmaa voidaan tarpeen tullen muuttaa.

Mikäli loppukäyttäjä ei osta tuotetta, alkaa se tekemään pop-uppeja pornosivustoille jotta loppukäyttäjä ostaisi ko. "suojaisohjelmiston".

Ilman salasanaa asentuminen onnistuu jos käyttäjä on admin. Syynä tähän on admin-tason käyttäjien tiedostoluvat applications -haaraan. Tosin sovellus asentuu vain tälle yhdelle käyttäjälle. Mikäli et ole admin, tuo admin-luvat pyytävä pop-up pompsahtaa esille.

Kaikki tämä voi seuraavissa versioissa muuttua.

suojauskeinoina :

1. Älkää asentako mitään kun surffaatte netissä, ja pitäkää 5 min tauko asennuksista ennen kuin aloitatte surffauksen.
2. Käyttäkää noita selainten conten filter -lisäosia (K9, WOT, ...) jos mahdollista.
3. Älkää surffailko adminina. Oma tunnus "villiin surffailuun" ei-admin.

Turvallista matkaa,
Securapple

Lähde : http://isc.sans.org/diary/MacDefender+u ... tion/10927

[Anniel]

Apple tarjoilee turvallisuuspäivitystä, jonka pitäisi ratkaista tämä MacDefender-ongelma.

Lisätietoja: http://support.apple.com/kb/HT4657

[MacFinn]

Apple tarjoilee turvallisuuspäivitystä, jonka pitäisi ratkaista tämä MacDefender-ongelma.

Lisätietoja: http://support.apple.com/kb/HT4657

Olis kiva tietää, moneltako tuo löysi tämän rahastajan. Minulta ei.

[kronos]

No eipä löytynyt tuota haitaketta mutta tämän jo tiesinkin. Tässä turvallisuuspäivityksessä on muuten myös automaattinen päivitys noille haitakkeille päivittäin.

File Quarantine

Available for: Mac OS X v10.6.7, Mac OS X Server v10.6.7

Impact: Automatically update the known malware definitions

Description: The system will check daily for updates to the File Quarantine malware definition list. An opt-out capability is provided via the "Automatically update safe downloads list" checkbox in Security Preferences. Additional information is available in this Knowledge Base article: http://support.apple.com/kb/HT4651

[Repe Ruutikallo]

Tarkoittaako tämä nytten sitten sitä, että OS X:ssä tämän turvapäivityksen jälkeen on sellainen sisäänrakennettu haittisten torjunta, joka päivittäisten päivitysten avulla vastaisuudessa torjuu kaiken tunnetun Mac-saastan?

[kronos]

Tältähän tämä näyttäisi. Järjestelmä tarkistaa esim. Safarin kautta ladatun paketin kun sitä ollaan avaamassa ja jos haitake löytyy niin suosittelee sen siirtämistä roskakoriin ja poistamista.

Files downloaded via applications such as Safari, iChat, and Mail are checked for safety at the time that they are opened. If a file is identified as containing known malware, the system will display a dialog that alerts you to move it to the Trash. You should empty the Trash to finalize the removal of the file.

Apple maintains a list of known malicious software that is used during the safe download check to determine if a file contains malicious software. The list is stored locally, and with Security Update 2011-003 is updated daily by a background process.

[Repe Ruutikallo]

Toivottavasti toimii muittenkin selainten kuin Safarin latauksia avattaessa...

[kronos]

Toimii toimii, homma on sidottu jo järjestelmän tasolle eikä mihinkään yksittäiseen ohjelmaan tai näin ainakin ymmärsin.

[-wk-]

Mac OS X 10.5 jätettiin siis ulkopuolelle vaikka käyttöjärjestelmä on vielä virallisesti tuettujen käyttöjärjestelmien joukossa? Ei sillä että tuolla oli mitään merkitystä minulle.

[securapple]

Hei!

Apple on siis nyt mukana omalla "Apple-AV-tuotteella (AAV)", päivityksiä päivittäin. Winkkarilla nortonin tee pieniä päivityksiä vartin välein. Mac:ssä tämä liene aivan riittävä rekvenssi näillä haittaohjelmamäärillä.

Noin yleisesti näen tässä kaksi mahdollista kehityspolkua, joko

1) Haittaohjelmien kehitys jää junnaamaan tälle tasolla jolloin tämä AAV riittää. Leijonassa ei tarvitse pakottaa asennuksia vain mac app storesta.

2) Haittaohjelmia alkaa tulemaan niin tiuhaan tahtiin että AAV ei pysy mukana vauhdissa jolloin olisi luontevinta rajoittaa leijonassa asennukset vain mac app storeen. Apple ei liene virallistesti ikinä tule suosittelemaan käytäjilleen muiden toimittajien AV-tuotteiden asentamista.

Noin yleensä tuo mac app storen asetukset kiinnostavat leijonassa, onko niin että

a) oletuksena saa asentaa vain mac app storesta (iso massa joka ei muuta oletusasetuksia) ja asetuksen saa pois päältä jos itse näin haluaa.

VAI

b) OS X 10.7 sovellukset voi asentaa vain mac app storen kautta.

Näillä mennään,
Securapple

[mkorkala]

Mac OS X 10.5 jätettiin siis ulkopuolelle vaikka käyttöjärjestelmä on vielä virallisesti tuettujen käyttöjärjestelmien joukossa? Ei sillä että tuolla oli mitään merkitystä minulle.

Kieltämättä pistää ihmetyttämään täälläkin. Ehkäpä iTeuvo näkee Leopardin jo harmaana pantterina johon ei turhia satsailla. Kieltämättä Applelta melkoista hv-meininkiä jättää näinkin tuore käyttis ulkopuolelle, mutta eiköhän murinat unohdu ja vatipäät ulvo pimeydessä kun vanha kunnon iPoolopaita pääsee julkistamaan teknohelluntailaisille uuden kapulansa ja muutakin mukavaa "pakko-saada-heti-vaikken-tarvi" kamaa koht'puoliin.

Asialla ei ole itsellenikään merkitystä, muuta kuin periaatteen näkökulmasta.

[via]

Mac OS X 10.5 jätettiin siis ulkopuolelle vaikka käyttöjärjestelmä on vielä virallisesti tuettujen käyttöjärjestelmien joukossa? Ei sillä että tuolla oli mitään merkitystä minulle.

Kieltämättä pistää ihmetyttämään täälläkin. Ehkäpä iTeuvo näkee Leopardin jo harmaana pantterina johon ei turhia satsailla. Kieltämättä Applelta melkoista hv-meininkiä jättää näinkin tuore käyttis ulkopuolelle, mutta eiköhän murinat unohdu ja vatipäät ulvo pimeydessä kun vanha kunnon iPoolopaita pääsee julkistamaan teknohelluntailaisille uuden kapulansa ja muutakin mukavaa "pakko-saada-heti-vaikken-tarvi" kamaa koht'puoliin.

Asialla ei ole itsellenikään merkitystä, muuta kuin periaatteen näkökulmasta.

Minulle on. Käytän toisessa asunnossani PPC:a niin kauan kuin se pelittää. Toisessa on Intel vielä Leolla, pitäisköhän päivittää. Aikaisemmin en ole nähnyt mitään hyötyä, vain lievää haittaa. DiskWarriorini, Tiikeriaikana ostettu, ei pyöri enää SL:ssa lisämaksutta. Näin olen ymmärtänyt.

[iPSP]

2) Haittaohjelmia alkaa tulemaan niin tiuhaan tahtiin että AAV ei pysy mukana vauhdissa jolloin olisi luontevinta rajoittaa leijonassa asennukset vain mac app storeen. Apple ei liene virallistesti ikinä tule suosittelemaan käytäjilleen muiden toimittajien AV-tuotteiden asentamista.

Noin yleensä tuo mac app storen asetukset kiinnostavat leijonassa, onko niin että

a) oletuksena saa asentaa vain mac app storesta (iso massa joka ei muuta oletusasetuksia) ja asetuksen saa pois päältä jos itse näin haluaa.

VAI

b) OS X 10.7 sovellukset voi asentaa vain mac app storen kautta.

Näillä mennään,
Securapple

FUCK NO!

Itse asiaan, tästähän sitä porukka on jauhanut jo pitemmän aikaa, mutta ei kai se nyt vielä oikeasti realistinen vaihtoehto voi olla, vaikka monet Mac-käyttäjät sitä jo pelkäävätkin, vai oletteko muka oikeasti sitä mieltä?

[-wk-]

Minulle on. Käytän toisessa asunnossani PPC:a niin kauan kuin se pelittää. Toisessa on Intel vielä Leolla, pitäisköhän päivittää. Aikaisemmin en ole nähnyt mitään hyötyä, vain lievää haittaa. DiskWarriorini, Tiikeriaikana ostettu, ei pyöri enää SL:ssa lisämaksutta. Näin olen ymmärtänyt.

Jos olet huolissasi Macin tietoturvasta ja etenkin tuosta MacDefenderistä niin Avastin oma softa ainakin tunnistaa tuon, ilmaisversiossa ei vain taida olla reaaliaikaista skanneria:

http://forum.avast.com/index.php?topic=78357.0

[Mac Classic]

Jonkin sortin troijalaissuojaus saattaa kyllä vielä tulla Leopardiinkin mahdollisten viimeisten turvapäivitysten mukana eli kai sitten 10.6.8:n julkaisun yhteydessä. Leijonan julkaisun jälkeenhän ne perinteisesti aika pian päättyvät.

PowerPC-ihmisiä (joille tie Leijonaan on tukossa) lohduttaa kuitenkin, että ilmainen Sophos Anti-Virus for Mac on universaali ja toimii jopa Tiikerissä. Eli jos siis troijalaistilanne nyt aivan villiintyy ja niiden matalamieliset väkertäjät jaksavat väsätä universaaleja ilkimysohjelmia, mitä hieman epäilen.

[Repe Ruutikallo]

Onko Leopardissa sisäänrakennettua haittaohjelmien torjuntamekanismia kuten Snow Leopardissa on? Muistaakseni ei, jolloin sitä ei edes voisi päivittää.

[kermit]

Jokohan se tunnistaa uuden version (mdinstall.pkg)?
http://www.zdnet.com/blog/bott/new-appl ... pdate/3396

[Never-mind]

Joo tätä lystiä kesti pitkään
http://www.itviikko.fi/uutiset/2011/06/ ... 20117825/7

[securapple]

Kyllähän tuollaisen kevyen suojauksen kiertää helpostikin. Varsinkin jos "suojaus" liittyy esim. tiedostojen tiivistesummiin.
En usko että tuossa AAV:ssä on tasoltaan mitenkään oikean AV-tuotteen laatuista heuristiikkaa ym toiminnallisuutta.

Oma arvaus :
Tällä menolla näyttää, että leijonassa mennään tuohon asenna vain mac app storesta -linjalle. Nyt apple sinnittelee ja ostaa aikaa tuolla AAV:llä.

Harmi jos yksi "haittaohjelma" voi pakottaa applen tällaiseen.

Mutta kenties olen väärässä...

-Securapple

[theinonen]

Tuo asenna vain App Storesta voi olla hiukan hankala toteuttaa käytännössä, enkä usko Applen haluavan lähteä samanlaisen leikkiin kuin esimerkiksi Sony tuon pleikkari kolmosen kanssa.

Jos tuollaisia rajoituksia lähdetään tekemään, niin haittaohjelmat ja virustehtailijat ovat Applen pienin huolenaihe. Enemmän kannattaisi olla huolissaan työttömistä itseoppineista harrastelijoista, joilla on monesti enemmän tietotaitoa kuin isojen yritysten palkkalistoilla olevilla ihmisillä. Näillä ihmisillä ei muuta ole kuin aikaa, eikä heitä motivoi raha.

[securapple]

Hei!

Macdefenderiä jaellaan nyt aika inhottavalla ansaintamallilla. Eli tekijä saa aina osansa / ostettu kapple, mutta poikkeuksellisesti myös levittäjällekin on luvassa osa maksusta / ostetu kappale. Näin tätä levitellään tehokkaasti koko ajan spämmin, saastutettujen sivustojen ym. kanavien kautta.

"It also appears that this malware is using the tried-and-true affiliate distribution method. The writers recruit other people to perform black-hat SEO, infect web pages and post blog spam and assign each one a unique affiliate ID to use in the URL for their traffic.

This allows the criminals to track which affiliate referred the victim and pay them a commission upon purchase of the fake software, enabling the criminals to cast a much wider net by sharing a portion of the profits with their "affiliates."

Lisäksi itse alussa asennusohjelma on pieni ja helposti muutettavissa. Applen AAV joutuu siis todelliseen Kissa-hiiri -leikkiin.

AAV:n voi päivittää manuaalisest komentojonolta ajamalla komennon : /usr/libexec/XProtectUpdater

lähde : http://nakedsecurity.sophos.com/2011/06 ... -youre-it/

-Securapple

[kermit]

On siihen ainakin yksi päivitys olemassa, joskaan se ei välttämättä ole vielä saapunut automaattisesti. Manuaalisella päivityksellä se on kuitenkin jo saatavilla. Alkuperäisessä on nuo kuvan seitsemän ja uudemmassa on kolmas OSX.MacDefender.C eli yhteensä kahdeksan.
EDIT: alkuperäisessä siis 8 ja uudemmassa 9 (eka oli nolla).

[rok]

Windowsista luopumisen jälkeen en ole näitä asioita tuuminut, joten tietotaito on tällaisen osalta jo päässyt pahasti ruostumaan.
Ja veikkaan tämän vaivaavan muitakin. Minä ainakin jo hieman huolestuin.

Voisiko joku siis perussuomalaistaa tämän jytkyketjun minulle:

1. Mikä tämä on? Virusko?
2. Mistä sen saa?
3. Mihin varotoimiin on ryhdyttävä?

[kallekilponen]

1. Mikä tämä on? Virusko?

Troijalainen, se pitää itse asentaa. (Sinut siis huijataan asentamaan se väittämällä kyseessä olevan sinulle välttämätön tietoturvaohjelma.)

2. Mistä sen saa?

Saastutetuilta/kaapatuilta nettisivuilta. En ole listaan niistä törmännyt.

3. Mihin varotoimiin on ryhdyttävä?

Aja ohjelmistonpäivitys ja siellä odottava tietoturvapäivitys, jos sitä ei ole jo ajettu.

[Hepo]

Ilman salasanaa asentuminen onnistuu jos käyttäjä on admin. Syynä tähän on admin-tason käyttäjien tiedostoluvat applications -haaraan. Tosin sovellus asentuu vain tälle yhdelle käyttäjälle. Mikäli et ole admin, tuo admin-luvat pyytävä pop-up pompsahtaa esille.

Vaimon iBookissa on Tigeri ja siinä on vain se yksi tunnus eikä päässyt asentamaan sitä, vaikka tuon mukaan pitäisi pystyä.
Jokunen aika sitten se meni jollekkin sivulle ja safari aukasi zipin, mutta ei päässyt aiheuttamaan tuhoa kun ei syöttänyt salasanaa.