Uusi Flashback.G troijalainen

[kallekilponen]

Intego ilmoitti uudesta macille suunnatusta troijalaisesta:

http://www.powerpage.org/2012/02/23/int ... s-caution/

Per Macworld, Intego describes three unique methods that the Trojan horse uses to infect Macs: It attempts to exploit a pair of Java vulnerabilities in sequence, which the company says allows infection with no further user intervention. Failing those two approaches, resorts to social engineering. In that last case, the applet presents a self-signed digital certificate, falsely claiming that the certificate is “signed by Apple Inc”; if you click Continue, the malware installs itself.

[iPSP]

Eikös koko uhkan voi estää vain pistämällä Java plugarin pois päältä, jos ei vielä ole..?

[securapple]

Tietojen mukaan automaattinen infektoituminen sivustolla vierailun tuloksena edellyttää haavoittuvaa javaa. Jos flashback.g ei pääse javan kautta sisään(java päivitetty tai Leijona käytössä), se yrittää päästä koneeseen asennusikkunan kautta : http://cdn.macrumors.com/article-new/20 ... ficate.jpg

Vihulainen ei asennu jos se havaitsee asennettuja av-suojausohjelmia.

Tarkempaa kuvausta : http://forums.macrumors.com/showthread.php?t=1329202

Tämä taitaa olla tähän asti kehittynein OS X haittaohjelma.

-Securapple

[iPSP]

Eikös koko uhkan voi estää vain pistämällä Java plugarin pois päältä, jos ei vielä ole..?

Kukaan ei sitten jaksanut vastata? Java:lla muutenkaan paljon mitään tee nykyään, ja jos Javalle on käyttöä, niin sitä tiettyä Javaa vaativaa palvelua voi käyttää vaikka omassa selaimessaan silloin, kun sille on tarve. Minulla on esim. Firefox sitä varten, ja muissa selaimissa Java kokonaan pois käytöstä...

edit. ja pitää tietenkin älytä painaa Cancel kyseisen ikkunan mahdollisesti ilmestyessä (suurin osa käyttäjistä painaa kuitenkin Continue, mutta siihen ei voi itse luonnollisesti vaikuttaa), vaikka olisikin Java pois käytöstä:

[securapple]

Hei!

Tähän vielä sellainen kommentti, että JAVA-:n suhteen ainakaan winkkareissa ei riitä pelkkä päivittäminen vaan myös wanhat java-versiot pitää uninstalloida.

JAVA:n periaatteena on ainakin winkkareissa, että (haitta)ohjelma voi kysellä työasemalta mitä JAVA-versioita on asennettuina, ja haavoittuvan version löytyessä ajaa (haitta)koodi juuri sillä haavoittuvalla versiolla. Tiedä miten OS X tekee tämän suhteen?

Noin yleensä JAVA-haavoittuvuuksissa(remote code execution) ohitetaan JAVA-hiekkalaatikko haavoittuvuudella, ja suoritetaan koodi suoraan käyttiksessä käyttäjän oikeuksin.

Muistaakseni uusimmissa tilastoissa n. 78% korkkauksista tehdään JAVA:n kautta. Loput menee FLASH:ille sekä muille lisäosille.

-Securapple

[paulaw]

Eikös koko uhkan voi estää vain pistämällä Java plugarin pois päältä, jos ei vielä ole..?

Näyttää olevan javaplugini selaimessa ... Saakos tuon muuten kokonaan pois jostain? Itse javalle ei ole mulla käyttöä selaimessa. Koneessa ympäristö on hyvä olla, käytän yhtä javaohjelmaa silloin tällöin (ProjectX). Javan kehitys ja päivitys jatkossa OSX:lle on kai vähän epäselvä vielä muutenkin?

[iPSP]

Eikös koko uhkan voi estää vain pistämällä Java plugarin pois päältä, jos ei vielä ole..?

Näyttää olevan javaplugini selaimessa ... Saakos tuon muuten kokonaan pois jostain? Itse javalle ei ole mulla käyttöä selaimessa. Koneessa ympäristö on hyvä olla, käytän yhtä javaohjelmaa silloin tällöin (ProjectX). Javan kehitys ja päivitys jatkossa OSX:lle on kai vähän epäselvä vielä muutenkin?

Saahan sen. Safarilla se on yhden ruksin takana, Firefoxista löytyy asetuksista Add-ons valikosta, ja Chromella vähän hankalampi löytää, mutta tuossa suorat ohjeet helpottamaan: How to disable Java in Chrome

[kermit]

Nopeammin kun laittaa osoiteriville about:plugins tai chrome://plugins/

[paulaw]

Kannattaisiko vieläkään ostaa sitä F-Securea?-)

Kun tällaisia ylläreitä kuitenkin ajoittain näyttää tulevan.

[iPadi]

Kannattaisiko vieläkään ostaa sitä F-Securea?-)

Kun tällaisia ylläreitä kuitenkin ajoittain näyttää tulevan.

No jos jotain virustorjuntaa mäkille niin ei ainakaan F-Securea.

[kallekilponen]

Kannattaisiko vieläkään ostaa sitä F-Securea?-)

Kun tällaisia ylläreitä kuitenkin ajoittain näyttää tulevan.

Jos jokin antivirus softa tekee mieli asentaa niin ClamXAV on hyvä ilmainen vaihtoehto.

[ER]

Minulla taitaa olla Javan tarve esimerkiksi Sampo Pankin (virallinen ja virheellinen kirjoitusasu) verkkopankissa. Jollakin Javalla se käsittääkseni pyörii. Liekö muitakin vastaavia palveluita?

[iPSP]

Minulla taitaa olla Javan tarve esimerkiksi Sampo Pankin (virallinen ja virheellinen kirjoitusasu) verkkopankissa. Jollakin Javalla se käsittääkseni pyörii. Liekö muitakin vastaavia palveluita?

Kävisikö tapa, mitä ehdotin eli oma selaimensa Javaa vaativille palveluille? (ja muuten muistaa sitten olla käyttämättä sitä)

[amanita]

Minulla taitaa olla Javan tarve esimerkiksi Sampo Pankin (virallinen ja virheellinen kirjoitusasu) verkkopankissa. Jollakin Javalla se käsittääkseni pyörii. Liekö muitakin vastaavia palveluita?

TVkaista tarvitsee ainakin joihinkin hakujuttuihin Javan.

[karjalankarhu]

Kannattaisiko vieläkään ostaa sitä F-Securea?-)

Kun tällaisia ylläreitä kuitenkin ajoittain näyttää tulevan.

No jos jotain virustorjuntaa mäkille niin ei ainakaan F-Securea.

+++ disable Java selaimista jos ei ole tarvetta
"paras softa on tuo Terminator 3 ladattu Skynet pikku omenat alkavat juosta ympäri pöytää "

[kamina]

Hei!

Tähän vielä sellainen kommentti, että JAVA-:n suhteen ainakaan winkkareissa ei riitä pelkkä päivittäminen vaan myös wanhat java-versiot pitää uninstalloida.

JAVA:n periaatteena on ainakin winkkareissa, että (haitta)ohjelma voi kysellä työasemalta mitä JAVA-versioita on asennettuina, ja haavoittuvan version löytyessä ajaa (haitta)koodi juuri sillä haavoittuvalla versiolla. Tiedä miten OS X tekee tämän suhteen?

Noin yleensä JAVA-haavoittuvuuksissa(remote code execution) ohitetaan JAVA-hiekkalaatikko haavoittuvuudella, ja suoritetaan koodi suoraan käyttiksessä käyttäjän oikeuksin.

Muistaakseni uusimmissa tilastoissa n. 78% korkkauksista tehdään JAVA:n kautta. Loput menee FLASH:ille sekä muille lisäosille.

-Securapple

Fläshin ja Javan lisäksi Adoben PDF on yksi yksi yleisimmistä hyökkäysvektoreista. Mac-puolella on tuon suhteen kohtuullisen turvassa kun eivät yleensä preview'tä koske, mutta jos koneelle on asennettu myös Adoben Acrobat Reader (ja sitä käytetään) niin riski on kohtuullinen.

Itse poistin eilen koneelta kokonaan flashin asennuksen. Chrome selaimeen se on kuitenkin asennettuna ja päivittyy tarvittaessa selaimen mukana. Yleensä en Acrobat Readeriä asenna (joskin kotona on valitettavasti ollut vaimoa varten pakko), ja java disabloituna selaimessa. Fläshin kohdalla häiritsi todella paljon ne satunnaisesti tulevat "päivitä flash" ponnahdusikkunat jotka saisi kohtuullisen helposti kopioitua myös webi-sivuiksi. Toki olisi tekemistä, mutta Adobe on kyllä suunnitellut koko tuon ohjelmiensa päivityksen auttamattoman huonosti (sen takia kai se onkin niin suosittu kohde hyökkäyksille). Pitäisi olla joku yksi agentti joka hoitaisi päivitystarkastukset ja näyttäisi toolbarissa kun jotain pitää päivittää, tai mielummin vielä laittaa ne softat App-Storeen.

10.8'n allekirjoitetut ohjelmistot tulevat auttamaan tuossa aika paljon, siis siinä että kun joku softa tarjoaa päivitystä niin voi periaatteessa luottaa siihen että se on tosiaan sitä mitä uskottelee.

[via]

No onko PPC vielä tämän uhkan piirissä?

[kamina]

Jos on haavoittuva java niin miksi ei?

[paulaw]

Jos jokin antivirus softa tekee mieli asentaa niin ClamXAV on hyvä ilmainen vaihtoehto.

Testailinpa kokeiluversioita näistä eri ohjelmista. ClamXav löytyi tosiaan AppStoresta ja näyttää olevan asiallinen. Ei ole koko aikaa taustalla joitain prosesseja (nähdäkseni) ja sopii kivasti ajoittaiseen skannaamiseen (vaikka ei sieltä mitään kuitenkaan löydy). Norton on uudistanut ohjelmistoansa ja on nyt 64-bittinen ja toimii sujuvasti taustalla ilman hidasteluja (pikatestin mukaan). F-Secure sitten näytti SnowLeopardissa toimivan oikein hyvin ja huomaamatta, mutta Leijonassa aiheutti selvää hidastumista! Johtuukohan sitten siitä, että prosessit olivat 32-bittisiä vai jostain muusta? Yhtään virusta mikään testatuista ei löytänyt, ei myöskään Avast. F-Securessa ainoana oli suomenkielinen käyttöliittymä.

Vaan kysymys kuuluu: löytääkö tämä ClamXav ja muut maksuttomat esim. tässä mainitun flashbackin yhtä luotettavasti? Jos löytää, niin ... siinähän olisi ainakin maksuton vaihtoehto. ClamXav jäi koneelle ainakin toistaiseksi.

[Mac Classic]

Jos on haavoittuva java niin miksi ei?

Javan haavoittuvuus on varmaan totta, koska päivityksiä ei todennäköisesti Leopardiin tule. Javaa nyt ei muutenkaan kannata pitää päällä selaimessa enää nykyään. Tarvittaessa sitten päälle.

Kaikkien näiden uusien troijalaisten asennusohjelmat ovat kuitenkin toistaiseksi vaatineet Intel-koneen eli varsinainen vihulainen ei pääse asentumaan PowerPC-puolelle: http://www.f-secure.com/weblog/archives ... D=00002300

[via]

Kaikkien näiden uusien troijalaisten asennusohjelmat ovat kuitenkin toistaiseksi vaatineet Intel-koneen eli varsinainen vihulainen ei pääse asentumaan PowerPC-puolelle: http://www.f-secure.com/weblog/archives ... D=00002300

Tuota minäkin hain - muistelin.

[kamina]

Jep, kannattaa muistaa että javan haavoittuvuus on se kanava jonka kautta koneelle päästään, sen jälkeen sinne voidaan sitten tehdä jäynää. Tuskin kovin moni haittaohjelman tekijä jaksaa kirjoittaa montaa eri binääriä eri arkkitehtuureille kun x86 on kuitenkin se mitä nykypäivänä löytyy valtaosasta koneita.

Mutta tuo ei tarkoita ettei ppc kone olisi haavoittuvainen (koska se on ihan yhtä haavoittuvainen), ainoastaan riski että haavoittuvuuden kautta saastuisi kone on pienempi.

[securapple]

Hei!

PPC-tapauksessa haittaohjelma ja murtokoodi pitäisi koodata uudestaan, markkinaosuuden olessa mitätön en usko että PPC-haittaohjelmia enää ilmestyy.

Yleisesti nk. "drive-by-download" -hyökkäykset toimivat niin, että saastutetulla sivustolla oleva javascript-kikkula tutkii selaimen user-agent tiedon ja ohjaa selaimen ko. tietojen mukaan sopivan murtokoodin ja haittaohjelman tarjoavaan urliin joka sijaitsee rosmon valtaamalla palvelimen nurkalla.

Päävihulaisella on sitten siisti graafinen liittymä luetteloon saastutetuista nettisivustoista, ja näkymästä saa tiedon montako mitäkin selainta ja mitäkin lisäosien versioita omaavia orjia on saatu tartutettua. Orjakoneiden IP:t näkyy linkkeinä ja orjia voi valita nätisti kliksuttamalla ja komennella yksittäin tai ryhmissä(tehkää DOS tuonne, jne...) esim :
http://3.bp.blogspot.com/_R-1CkBuFTzE/T ... w_Kasp.png

Tähän .PPC -koodin lisääminen olisi verrattavissa esim. Opera -exploitin tekemiseen(pieni markkinaosuus). Tosin .PPC haittaohjelma vaatii erityisosaamista .ppc -koodaamisesta, ja juuri tämän vuoksi en usko ppc-haittisten ilmaantumiseen. Työ on liian suuri suhteessa saatavaan hyötyyn.

-Securapple

[Machist]

Kannattaisiko vieläkään ostaa sitä F-Securea?-)

Kun tällaisia ylläreitä kuitenkin ajoittain näyttää tulevan.

Jos jokin antivirus softa tekee mieli asentaa niin ClamXAV on hyvä ilmainen vaihtoehto.

Joskus 2v sitten tuolla ClamXAV:llä skannasin koneen ja pelkkiä win viruksia löytyi sähköpostien joukosta.
Jätin yöksi skannaamaan nyt ja äsken herätessäni oli ihmetys suuri??

Osa musiikki kirjastostani oli siirretty karanteeniin? Musiikki on NIN verkkokaupasta ostettua :O
Users/xxx/Music/iTunes/iTunes Music/Nine Inch Nails/Ghosts I-IV/2-28 28 Ghosts IV.m4a: moved to '/Users/xxx/ClamXav_karanteeni/2-28 28 Ghosts IV.m4a'

Siirsin musiikit takaisin mutta eipä toiminut.... iTunesissa polut osoitti kansioon missä on webbisivujen kehitykseen liittyvää rojua ja tarkemmin .js skriptifiluun? ilmankos ei toista.
Kappaleet veks iTunesista ja lisäsin uudelleen niin johan toimii.

Infection Name oli CVE_2012_0754-5

Taitaapa olla että ei virusohjelmia tälle koneelle tule kun palattiin aika rankasti takaisin win aikoihin ja kummallisuuksiin mitä silloin tapahtui

[securapple]

Kannattaisiko vieläkään ostaa sitä F-Securea?-)

Kun tällaisia ylläreitä kuitenkin ajoittain näyttää tulevan.

Jos jokin antivirus softa tekee mieli asentaa niin ClamXAV on hyvä ilmainen vaihtoehto.

Joskus 2v sitten tuolla ClamXAV:llä skannasin koneen ja pelkkiä win viruksia löytyi sähköpostien joukosta.
Jätin yöksi skannaamaan nyt ja äsken herätessäni oli ihmetys suuri??
Infection Name oli CVE_2012_0754-5

Taitaapa olla että ei virusohjelmia tälle koneelle tule kun palattiin aika rankasti takaisin win aikoihin ja kummallisuuksiin mitä silloin tapahtui

Tuo Common Vulnerability Entry(CVE) -tietokantaan talletettu haavoittuvuuden koodi, viittaa vuoden 2012 haavoittuvuuteen Flashissä : http://web.nvd.nist.gov/view/vuln/detai ... -2012-0754

Taitaa olla false positive. Juuri näiden osalta laadukkaammat haittaohjelmat erottautuvat. Suosittelisin katsomaan mikä heuristiikan taso on määriteltynä ja konfiguroimaan sitä alas.

-Securapple