Troijalainen iWork '09 -torrenteissa
-
Crimson
- Viestit: 4078
- Liittynyt: 12.7.2007 klo 12.59
- Paikkakunta: Laukaa
Troijalainen iWork '09 -torrenteissa
Varoituksen sana: http://www.macrumors.com/2009/01/22/iwo ... -x-trojan/
Mac Mini 2 GHz | 4 GB | 500 GB | Lion
MacBook white 2,16 GHz | 2 GB | 120 GB | Lion
iMac G3 400 MHz | 1 GB | 128 GB | Tiger
Apple TV 160 GB
iPhone 4 32 GB
Airport Extreme 802.11n | Airport Express 802.11n
MacBook white 2,16 GHz | 2 GB | 120 GB | Lion
iMac G3 400 MHz | 1 GB | 128 GB | Tiger
Apple TV 160 GB
iPhone 4 32 GB
Airport Extreme 802.11n | Airport Express 802.11n
-
Pis
- Viestit: 3551
- Liittynyt: 6.10.2006 klo 10.08
- Paikkakunta: Helsinki
Re: iWork 09
iWorkin saisi kuitenkin ladattua Applen sivuiltakin...Crimson kirjoitti:Varoituksen sana: http://www.macrumors.com/2009/01/22/iwo ... -x-trojan/
-
Crimson
- Viestit: 4078
- Liittynyt: 12.7.2007 klo 12.59
- Paikkakunta: Laukaa
Re: iWork 09
Trial-versio tarvitsee aktivointikoodin, retail versio ei.Pis kirjoitti:iWorkin saisi kuitenkin ladattua Applen sivuiltakin...Crimson kirjoitti:Varoituksen sana: http://www.macrumors.com/2009/01/22/iwo ... -x-trojan/
Mac Mini 2 GHz | 4 GB | 500 GB | Lion
MacBook white 2,16 GHz | 2 GB | 120 GB | Lion
iMac G3 400 MHz | 1 GB | 128 GB | Tiger
Apple TV 160 GB
iPhone 4 32 GB
Airport Extreme 802.11n | Airport Express 802.11n
MacBook white 2,16 GHz | 2 GB | 120 GB | Lion
iMac G3 400 MHz | 1 GB | 128 GB | Tiger
Apple TV 160 GB
iPhone 4 32 GB
Airport Extreme 802.11n | Airport Express 802.11n
-
securapple
- Viestit: 631
- Liittynyt: 9.7.2008 klo 17.44
iWork 2009 troijalainen iWork2009-torrenteissa
Hei!
Älkää warettako iwork 2009 torrenteista, voit saada mukaan jotain ekstraa.
-Jos torrentoit tuon paketin, troijalainen sijaitsee installerissa.
"The installer for the trojan is launched as soon as the installation of iWork begins, following the installers request of the administrator password."
-Taas pyydetään admin-salasanaa.
"Once installed as a start-up item to /System/Library/StartupItems/iWorkServices it has read-write-execute permissions for root. "
Intego has advised that the trojan connects to a remote server, possibly giving remote access and downloading additional components to the infected Mac.
Intego : http://www.intego.com/news/ism0901.asp
ja
SANS : http://isc.sans.org/diary.html?storyid=5734
seurataan tilanteen kehittymistä...
-securapple
Älkää warettako iwork 2009 torrenteista, voit saada mukaan jotain ekstraa.
-Jos torrentoit tuon paketin, troijalainen sijaitsee installerissa.
"The installer for the trojan is launched as soon as the installation of iWork begins, following the installers request of the administrator password."
-Taas pyydetään admin-salasanaa.
"Once installed as a start-up item to /System/Library/StartupItems/iWorkServices it has read-write-execute permissions for root. "
Intego has advised that the trojan connects to a remote server, possibly giving remote access and downloading additional components to the infected Mac.
Intego : http://www.intego.com/news/ism0901.asp
ja
SANS : http://isc.sans.org/diary.html?storyid=5734
seurataan tilanteen kehittymistä...
-securapple
Viimeksi muokannut securapple, 23.1.2009 klo 12.43. Yhteensä muokattu 1 kertaa.
Kyberukkeli
iPhone 6,iPad Air,iPad Mini 3,rMBP-2014 twitter: http://twitter.com/securapple
iPhone 6,iPad Air,iPad Mini 3,rMBP-2014 twitter: http://twitter.com/securapple
-
MacFinn
- Viestit: 22977
- Liittynyt: 21.2.2004 klo 11.41
- Paikkakunta: Pori
Re: iWork 2009 troijalainen iwork2009-torrenteissa
Tuota ei onneksi tule Applelta suoraan imuroidusta trialista.
Ja jos se kuukausi tyydyttää, ei 79 € ole paha hinta, joten warettaminen on tarpeetonta.
Ja jos se kuukausi tyydyttää, ei 79 € ole paha hinta, joten warettaminen on tarpeetonta.
iMac 24" 4,5K, pari Mac miniä, iPhone 13, iPad 2021, Watch SE 2022 ja kaikenlaista muuta. FiMUG ry jäsen
-
Salmister
- Viestit: 1081
- Liittynyt: 15.12.2007 klo 14.56
- Paikkakunta: Kyrkslätt
Re: iWork 2009 troijalainen iwork2009-torrenteissa
OIkeastaan hieno juttu.
Mitäköhän toi troijalainen tekee? Tuli paniikki, koska latasin juuri tuon.
En oikeasti ladannut, trialin kyllä.
Mitäköhän toi troijalainen tekee? Tuli paniikki, koska latasin juuri tuon.
En oikeasti ladannut, trialin kyllä.
-Kannattaa jättää tosiaan Windowsien asennus osaaville tyypeille, jos ei ite osaa.
Lainemies
Lainemies
-
securapple
- Viestit: 631
- Liittynyt: 9.7.2008 klo 17.44
iWork 2009 troijalainen PUHDISTUS
Hei!
1) avaa Terminal
2) sudo su (anna salasana)
3) rm -r /System/Library/StartupItems/iWorkServices
4) rm /private/tmp/.iWorkServices
5) rm /usr/bin/iWorkServices
6) rm -r /Library/Receipts/iWorkServices.pkg
7) killall -9 iWorkServices
Disabloi ajossa olevat prosessit ja tuhoaa startup scriptin sekä binäärit
Lähde: http://www.macrumors.com/2009/01/22/iwo ... -x-trojan/
-Securapple
AMA-EDIT: Linkki muutettu Macrumors-linkiksi
1) avaa Terminal
2) sudo su (anna salasana)
3) rm -r /System/Library/StartupItems/iWorkServices
4) rm /private/tmp/.iWorkServices
5) rm /usr/bin/iWorkServices
6) rm -r /Library/Receipts/iWorkServices.pkg
7) killall -9 iWorkServices
Disabloi ajossa olevat prosessit ja tuhoaa startup scriptin sekä binäärit
Lähde: http://www.macrumors.com/2009/01/22/iwo ... -x-trojan/
-Securapple
AMA-EDIT: Linkki muutettu Macrumors-linkiksi
Kyberukkeli
iPhone 6,iPad Air,iPad Mini 3,rMBP-2014 twitter: http://twitter.com/securapple
iPhone 6,iPad Air,iPad Mini 3,rMBP-2014 twitter: http://twitter.com/securapple
-
kronos
- Viestit: 815
- Liittynyt: 11.6.2008 klo 14.39
- Paikkakunta: Lohja
Re: iWork 2009 troijalainen iwork2009-torrenteissa
Siis jos nyt ymmärsin oikein, niin tuo /System/Library/StartupItems/iWorkServices poisto ei yksistään riitä. Tuolla komponentilla on ilmeisesti rootin oikeudet, joten ei ole mitään tietoa siitä mitä muuta tuon kautta on koneeseen asennettu ja/tai mitä tiedostoja koneessa on muutettu komponentin käynnistymisen jälkeen. Onneksi tuo Applen trial on puhdas.
EDIT: Ikävää olla oikeassa. Tuo komponentti lataa aktiivisesti omaa koodia:
"Intego is getting reports of the iServices.A Trojan horse actively downloading new code and acting as a botnet, participating in distributed denial of service attacks on certain websites.
In other words, if the trojan started on your system, you have no idea what it has done. You had a malicious agent with full root privs running on you system, under the control of network criminals.
The only completely safe, simple action is to reformat your drive and reinstall the OSX.
You don't know what it has done to your system. It may have modified other files, added things to other startups, installed programs, modified the firewall, set up periodic jobs, installed a rootkit, or any number of things."
EDIT: Ikävää olla oikeassa. Tuo komponentti lataa aktiivisesti omaa koodia:
"Intego is getting reports of the iServices.A Trojan horse actively downloading new code and acting as a botnet, participating in distributed denial of service attacks on certain websites.
In other words, if the trojan started on your system, you have no idea what it has done. You had a malicious agent with full root privs running on you system, under the control of network criminals.
The only completely safe, simple action is to reformat your drive and reinstall the OSX.
You don't know what it has done to your system. It may have modified other files, added things to other startups, installed programs, modified the firewall, set up periodic jobs, installed a rootkit, or any number of things."
Attention, the Universe, by kingdoms right wheel!
-
securapple
- Viestit: 631
- Liittynyt: 9.7.2008 klo 17.44
Re: iWork 2009 troijalainen iwork2009-torrenteissa
Eikö integolla ole kykyjä katsoa mitä koodi tekee? PC-puolella tähänhän juuri kaikki AV-firmojen puhdistuksen tekevät tuotteet perustuvat!
Ainakin winkkarin puolella on kivat työkalut olemassa juuri tätä varten, ihan Matti Meikäläisellekin löytyy regmon, filemon, ... jolla näkee mitä eri binäärin haluavat tehdä rekisteriin/tiedostojärjestelmään ja kuinka ne onnistuvat tiedostolupien suhteen.
Macille vastaava työkalu voisi olla : http://www.macworld.com/article/46516/2 ... usage.html tai http://www.macupdate.com/info.php/id/22456/tracker
Noilla intego voisi tsiikata mitä tuo troijalainen tekee file systeemissä.
Jos ei noita halua asennella voisi pistää täyden lokituksen päälle auditd:llä ja ohjata auditd:n tulokset vaikka reaaliaikaisesti jollain tail -f | logger -skriptillä syslokia käyttäen naapurikoneeseen.
Yhä enemmän arveluttaa tuo INTEGO! Itse en suosittelisi ostamaan niiden AV-tuotetta jos eivät kerran pysty träkkäämään mitä joku ohjelma tekee mäkissä.
Kertoo vaan heidän tietotaitonsa tasosta. Macin haittaohjelmat ovat vielä niin alkeellisia ettei AV-tuotteen tekeminen ole vielä vaikeaa.
-securapple
Ainakin winkkarin puolella on kivat työkalut olemassa juuri tätä varten, ihan Matti Meikäläisellekin löytyy regmon, filemon, ... jolla näkee mitä eri binäärin haluavat tehdä rekisteriin/tiedostojärjestelmään ja kuinka ne onnistuvat tiedostolupien suhteen.
Macille vastaava työkalu voisi olla : http://www.macworld.com/article/46516/2 ... usage.html tai http://www.macupdate.com/info.php/id/22456/tracker
Noilla intego voisi tsiikata mitä tuo troijalainen tekee file systeemissä.
Jos ei noita halua asennella voisi pistää täyden lokituksen päälle auditd:llä ja ohjata auditd:n tulokset vaikka reaaliaikaisesti jollain tail -f | logger -skriptillä syslokia käyttäen naapurikoneeseen.
Yhä enemmän arveluttaa tuo INTEGO! Itse en suosittelisi ostamaan niiden AV-tuotetta jos eivät kerran pysty träkkäämään mitä joku ohjelma tekee mäkissä.
Kertoo vaan heidän tietotaitonsa tasosta. Macin haittaohjelmat ovat vielä niin alkeellisia ettei AV-tuotteen tekeminen ole vielä vaikeaa.
-securapple
Kyberukkeli
iPhone 6,iPad Air,iPad Mini 3,rMBP-2014 twitter: http://twitter.com/securapple
iPhone 6,iPad Air,iPad Mini 3,rMBP-2014 twitter: http://twitter.com/securapple
-
kallekilponen
- Viestit: 28342
- Liittynyt: 21.2.2004 klo 12.07
- Paikkakunta: Vantaa
Re: iWork 09
Taitaa noita koodeja olla silti piraattipuolella saatavissa yhtä helposti kuin noita retail paketteja...noh mutta kuten aiemminkin on sanottu...karma iskeeCrimson kirjoitti:Trial-versio tarvitsee aktivointikoodin, retail versio ei.Pis kirjoitti:iWorkin saisi kuitenkin ladattua Applen sivuiltakin...Crimson kirjoitti:Varoituksen sana: http://www.macrumors.com/2009/01/22/iwo ... -x-trojan/
![[a]](./images/smilies/angel_smile.gif "Enkeli"){kind=small}
PS. Nyt on macrumorsissa myös ohje tuon troijalaisen poistoon:
Koodi: Valitse kaikki
1) (open Terminal.app)
2) sudo su (enter password)
3) rm -r /System/Library/StartupItems/iWorkServices
4) rm /private/tmp/.iWorkServices
5) rm /usr/bin/iWorkServices
6) rm -r /Library/Receipts/iWorkServices.pkg
7) killall -9 iWorkServices
"If you have to go to sea, it's better to be a pirate than join the navy." -Jobs
-
MNi
- Viestit: 408
- Liittynyt: 11.12.2005 klo 23.37
Re: iWork 2009 troijalainen iwork2009-torrenteissa
Kuten kronos yllä sanoo, niin ko. troijalainen lataa netistä uutta koodia. Tuo uusi koodi voi vaihtua milloin vain, vaikka satunnaisesti, joten ei kukaan varmasti tiedä mitä troijalainen milläkin koneella on tehnyt.securapple kirjoitti:Eikö integolla ole kykyjä katsoa mitä koodi tekee?
MNi
-
kronos
- Viestit: 815
- Liittynyt: 11.6.2008 klo 14.39
- Paikkakunta: Lohja
Re: iWork 2009 troijalainen iwork2009-torrenteissa
No, joku varmaan selvittää tuon troijalaisen toiminnan tai sitten ei, ei väliä kun itsellä ei ole hätää. Tämäkin tempaus kyllä osoittaa, että Mac on entistä kiinnostavampi kohde nettirikollisille.
Attention, the Universe, by kingdoms right wheel!
-
securapple
- Viestit: 631
- Liittynyt: 9.7.2008 klo 17.44
Re: iWork 2009 troijalainen iwork2009-torrenteissa (PITKÄ)
Tästä vaikka vertailukohtana kuvaus downandup -troijalaisesta f-securelta, tätä voi verrata integon kuvaukseen iWork-troijalaisesta 
:
Tosiaankin selvennyksenä alla oleva on windowssiin , älkää pelästykö!![[:$]](./images/smilies/icon_redface.gif "Punastuu")
: Tosiaankin selvennyksenä alla oleva on windowssiin , älkää pelästykö!
F-Secure kirjoitti:Upon execution, the Downadup (Kido, Conflicker) worm creates copies of itself in:
* %System%\[Random].dll
* %Program Files%\Internet Explorer\[Random].dll
* %Program Files%\Movie Maker\[Random].dll
* %All Users Application Data%\[Random].dll
* %Temp%\[Random].dll
* %System%\[Random].tmp
* %Temp%\[Random].tmp
* Note: [Random] represents a randomly generated name.
Each file's timestamp is amended to match the timestamp of the %System%\kernel32.dll file. The worm then creates autorun entries in the registry, which ensure that a copy of the worm is executed at every system startup.
The worm may create the following files on removable and mapped drives:
* %DriveLetter%\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\[...].[3 random characters]
* %DriveLetter%\autorun.inf
See the description for Worm:W32/Downaduprun.A for additional details on the autorun.inf file.
And attach itself to the following processes:
* svchost.exe
* explorer.exe
* services.exe
The worm disables a number of system features, in order to facilitate its activities. It disables the following Windows services:
* Windows Automatic Update Service (wuauserv)
* Background Intelligent Transfer Service (BITS)
* Windows Security Center Service (wscsvc)
* Windows Defender Service (WinDefend)
* Windows Error Reporting Service (ERSvc)
* Windows Error Reporting Service (WerSvc)
In addition to disabling these services, it checks to see whether it is running on a Windows Vista machine; if so, it also runs the following command to disable Windows Vista TCP/IP auto-tuning:
* netsh interface tcp set global autotuning=disabled
The worm also hooks the following API's in order to block access when the user attempts to access a long list of domains:
* DNS_Query_A
* DNS_Query_UTF8
* DNS_Query_W
* Query_Main
* sendto
If the user attempts to access the following, primarily security-related domains, their access is blocked:
* virus
* spyware
* malware
* rootkit
* defender
* microsoft
* symantec
* norton
* mcafee
* trendmicro
* sophos
* panda
* etrust
* networkassociates
* computerassociates
* f-secure
* kaspersky
* jotti
* f-prot
* nod32
* eset
* grisoft
* drweb
* centralcommand
* ahnlab
* esafe
* avast
* avira
* quickheal
* comodo
* clamav
* ewido
* fortinet
* gdata
* hacksoft
* hauri
* ikarus
* k7computing
* norman
* pctools
* prevx
* rising
* securecomputing
* sunbelt
* emsisoft
* arcabit
* cpsecure
* spamhaus
* castlecops
* threatexpert
* wilderssecurity
* windowsupdate
* nai
* ca
* avp
* avg
* vet
* bit9
* sans
* cert
Propagation
To propagate itself, the worm first modifies the following registry entry so that it can spread more rapidly across a network:
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"TcpNumConnections" = dword:0x00FFFFFE
The worm uses this driver to speed up its propagation capability, as it modifies the number of half-open connections to a 0x10000000(268435456) in memory, a function implemented in %System%\drivers\tcpip.sys.
It checks for a suitable computer around the network using NetServerEnum, then attempts to log on to any found computer with one of the following login credentials:
1. Using the existing credentials of the infected user account; if this account does not have admin privileges on the target machine, this operation will not succeed.
2. Acquiring the list of usernames from the targeted computer using NetUserEnum API, then attempting to log on to the targeted computer using the existing user accounts and one of the following passwords:
o [username]
o [username][username]
o [reverse_of_username]
o 00000
o 0000000
o 00000000
o 0987654321
o 11111
o 111111
o 1111111
o 11111111
o 123123
o 12321
o 123321
o 12345
o 123456
o 1234567
o 12345678
o 123456789
o 1234567890
o 1234abcd
o 1234qwer
o 123abc
o 123asd
o 123qwe
o 1q2w3e
o 22222
o 222222
o 2222222
o 22222222
o 33333
o 333333
o 3333333
o 33333333
o 44444
o 444444
o 4444444
o 44444444
o 54321
o 55555
o 555555
o 5555555
o 55555555
o 654321
o 66666
o 666666
o 6666666
o 66666666
o 7654321
o 77777
o 777777
o 7777777
o 77777777
o 87654321
o 88888
o 888888
o 8888888
o 88888888
o 987654321
o 99999
o 999999
o 9999999
o 99999999
o a1b2c3
o aaaaa
o abc123
o academia
o access
o account
o Admin
o admin
o admin1
o admin12
o admin123
o adminadmin
o administrator
o anything
o asddsa
o asdfgh
o asdsa
o asdzxc
o backup
o boss123
o business
o campus
o changeme
o cluster
o codename
o codeword
o coffee
o computer
o controller
o cookie
o customer
o database
o default
o desktop
o domain
o example
o exchange
o explorer
o files
o foobar
o foofoo
o forever
o freedom
o games
o home123
o ihavenopass
o Internet
o internet
o intranet
o killer
o letitbe
o letmein
o Login
o login
o lotus
o love123
o manager
o market
o money
o monitor
o mypass
o mypassword
o mypc123
o nimda
o nobody
o nopass
o nopassword
o nothing
o office
o oracle
o owner
o pass1
o pass12
o pass123
o passwd
o Password
o password
o password1
o password12
o password123
o private
o public
o pw123
o q1w2e3
o qazwsx
o qazwsxedc
o qqqqq
o qwe123
o qweasd
o qweasdzxc
o qweewq
o qwerty
o qwewq
o root123
o rootroot
o sample
o secret
o secure
o security
o server
o shadow
o share
o student
o super
o superuser
o supervisor
o system
o temp123
o temporary
o temptemp
o test123
o testtest
o unknown
o windows
o work123
o xxxxx
o zxccxz
o zxcvb
o zxcvbn
o zxcxz
o zzzzz
If the worm successfully accesses the network share, it will create a copy of itself to the "ADMIN$" share as the following:
* \\[Server Host Name]\ADMIN$\System32\[random filename].[random extension]
It then creates a scheduled daily job on the remote server, in order to execute the following command:
* rundll32.exe [random filename].[random extension], [random]
The worm is also able to propagate by downloading a copy of itself onto other machines vulnerable to an exploit of the critical MS08-067 vulnerability. To do so, the worm first connects to the following sites to retrieve the system's %ExternalIPAddress%:
* http://checkip.dyndns.org
* http://getmyip.co.uk
* http://www.getmyip.org
* http://www.whatsmyipaddress.com
Next, the worm creates a HTTP server on a random port:
* http://%ExternalIPAddress%:%RandomPort%
Creating the HTTP server allows the malware to send out specially crafted packets (exploit code) from the infected machine to other machines. If the exploit is successful, the targeted machine is forced to download a copy of the malware from the first infected machine.
The downloaded malware has one of the following extensions:
* bmp
* gif
* jpeg
* png
It then hooks NetpwPathCanonicalize API in order to avoid exploiting the vulnerability further.
Downloads
Downadup is capable of downloading files onto the infected system. First, the worm connects to one of the following domains to obtain the current system date:
* ask.com
* baidu.com
* google.com
* w3.org
* yahoo.com
The obtained system date is used to generate a list of domains where the malware can download additional files.
It then verifies whether the current date is at least 1 January 2009. If so, it downloads and execute files from:
* http://%PredictableDomainsIPAddress%/search?q=%d
Note: %PredictableDomainsIPAddress% is the domain generated based on the system date.
The downloaded file has the format:
* [random].tmp
Registry
The worm deletes a number of keys from the registry, in order to deactivate the Security Center Notifications and prevent Windows Defender from starting. It also bypasses the Windows Firewall by creating the following registry entry, so that the system can download a copy of the worm:
* HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List, [PortNumber]:TCP = "[PortNumber]:TCP:*Enabled:[random]"
To hide its presence in the system, the worm deletes any System Restore points created by the user, then modifies the following registry keys:
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHO WALLCheckedValue = dword:00000000
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost, netsvcs = %Previous data% and %Random%
During infection, the worm may create a temporary (TMP) file in the the System or Temp folders. The TMP file created is registered as a service kernel driver using the following registry entry:
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[random]
Type = dword:00000001
Start = dword:00000003
ErrorControl = dword:00000000
ImagePath = "\...\%MalwarePath%\[random].tmp"
DisplayName = [Random]
Once the key is created, the file %MalwarePath%\[random].tmp is deleted.
An interesting change the worm makes to the registry involves the following registry entries:
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
DisplayName = %ServiceName%
Type = dword:00000020
Start = dword:00000002
ErrorControl = dword:00000000
ImagePath = "%SystemRoot%\system32\svchost.exe -k netsvcs"
ObjectName = "LocalSystem"
Description = %description%
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[random]\Parameters
ServiceDll = %MalwarePath%
In these entries, %ServiceName% represents a two word combination taken from the following list:
* Boot
* Center
* Config
* Driver
* Helper
* Image
* Installer
* Manager
* Microsoft
* Monitor
* Network
* Security
* Server
* Shell
* Support
* System
* Task
* Time
* Universal
* Update
* Windows
Viimeksi muokannut kallekilponen, 23.1.2009 klo 19.47. Yhteensä muokattu 1 kertaa.
Syy: säädetty pikkasen vähemmän tilaa vieväksi
Syy: säädetty pikkasen vähemmän tilaa vieväksi
Kyberukkeli
iPhone 6,iPad Air,iPad Mini 3,rMBP-2014 twitter: http://twitter.com/securapple
iPhone 6,iPad Air,iPad Mini 3,rMBP-2014 twitter: http://twitter.com/securapple
-
Quadra700
- Viestit: 258
- Liittynyt: 19.3.2004 klo 18.39
Re: iWork 2009 troijalainen iwork2009-torrenteissa
Eli tällä hetkellä ainoa keino varmistaa ettei koneelle tosiaankaan jää mitään on levyn tyhjennys ja uudelleenasennus. Tai sitten backupista palautus.MNi kirjoitti:Kuten kronos yllä sanoo, niin ko. troijalainen lataa netistä uutta koodia. Tuo uusi koodi voi vaihtua milloin vain, vaikka satunnaisesti, joten ei kukaan varmasti tiedä mitä troijalainen milläkin koneella on tehnyt.securapple kirjoitti:Eikö integolla ole kykyjä katsoa mitä koodi tekee?
--==> Apple Macintosh Plus - 1Mt / 20Mt HD - OS6.0.4 - Microsoft Excel 1.0 - Microsoft Word 1.0 <==--
-
spiidi78
- Viestit: 4725
- Liittynyt: 8.3.2004 klo 17.38
- Paikkakunta: Helsinki
Re: iWork 2009 troijalainen iwork2009-torrenteissa (PITKÄ)
Nyt menee kyllä madot ja troijalaiset sekasinsecurapple kirjoitti:Tästä vaikka vertailukohtana kuvaus downandup -troijalaisesta f-securelta, tätä voi verrata integon kuvaukseen iWork-troijalaisesta
-
Makahall
- Viestit: 46
- Liittynyt: 9.1.2007 klo 19.08
- Paikkakunta: Lontoo
Re: iWork 2009 troijalainen iwork2009-torrenteissa
Tarkoitatko warettajia vai pöpöjenbuildaajia? Molemmat kun rikollisia ovat.kronos kirjoitti:No, joku varmaan selvittää tuon troijalaisen toiminnan tai sitten ei, ei väliä kun itsellä ei ole hätää. Tämäkin tempaus kyllä osoittaa, että Mac on entistä kiinnostavampi kohde nettirikollisille.
-
Mac Classic
- Viestit: 1209
- Liittynyt: 3.3.2004 klo 19.55
- Paikkakunta: Helsinki
Re: iWork 2009 troijalainen iwork2009-torrenteissa
Niin siis jos koneeltasi tuo ylimääräinen iWorkServices jo löytyi.Quadra700 kirjoitti:Eli tällä hetkellä ainoa keino varmistaa ettei koneelle tosiaankaan jää mitään on levyn tyhjennys ja uudelleenasennus. Tai sitten backupista palautus.
Poistotyökalukin on jo näköjään ilmestynyt:
http://macdailynews.com/index.php/weblo ... nts/19859/
-
kermit
- Viestit: 5892
- Liittynyt: 10.3.2005 klo 2.39
Re: iWork 2009 troijalainen iwork2009-torrenteissa
Onkos se varmasti aito, vai sellainen joka poistaa toisen ja asettuu itse taloksi? ![[:D]](./images/smilies/icon_biggrin.gif "Iso hymy")
-
Quadra700
- Viestit: 258
- Liittynyt: 19.3.2004 klo 18.39
Re: iWork 2009 troijalainen iwork2009-torrenteissa
Mac Classic kirjoitti:Niin siis jos koneeltasi tuo ylimääräinen iWorkServices jo löytyi.Quadra700 kirjoitti:Eli tällä hetkellä ainoa keino varmistaa ettei koneelle tosiaankaan jää mitään on levyn tyhjennys ja uudelleenasennus. Tai sitten backupista palautus.
Poistotyökalukin on jo näköjään ilmestynyt:
http://macdailynews.com/index.php/weblo ... nts/19859/
Poistaa siis ainoastaan tuon iWorkServicen. Mistä se tietää mitkä koneen muut prosessit joita se on ehtinyt koneella latailemaan ja asentamaan liittyvät tuohon softaan? Ei mitenkään...
--==> Apple Macintosh Plus - 1Mt / 20Mt HD - OS6.0.4 - Microsoft Excel 1.0 - Microsoft Word 1.0 <==--
-
MacFinn
- Viestit: 22977
- Liittynyt: 21.2.2004 klo 11.41
- Paikkakunta: Pori
Re: iWork 2009 troijalainen iwork2009-torrenteissa
Mites tää nyt menee. Aina olen lukenut, että torrenteissa kommenteissa varoitetaan, jos on jotain ylimääräistä latauksessa. Ja nyt oli, joten missä oli se varoitus, jos 20 000 kerkesi saastuneen ladata?
Torrentti ei mielestäni kannata.
Torrentti ei mielestäni kannata.
iMac 24" 4,5K, pari Mac miniä, iPhone 13, iPad 2021, Watch SE 2022 ja kaikenlaista muuta. FiMUG ry jäsen
-
kronos
- Viestit: 815
- Liittynyt: 11.6.2008 klo 14.39
- Paikkakunta: Lohja
Re: iWork 2009 troijalainen iwork2009-torrenteissa
Hyvä pointti kermit. Olen aina ollut sitä mieltä, että näillä firmoilla, jotka tekevät viruksentorjuntasoftia on aina kaksi osastoa - toinen torjuu ja kellarin pojat tekevät uusiakermit kirjoitti:Onkos se varmasti aito, vai sellainen joka poistaa toisen ja asettuu itse taloksi?
Attention, the Universe, by kingdoms right wheel!
-
Repe Ruutikallo
- Vuoden Homppulainen 2009
- Viestit: 20319
- Liittynyt: 21.2.2004 klo 22.31
Re: iWork 2009 troijalainen iwork2009-torrenteissa
Ensinnäkin, se 20 000 oli kaupallinen tiedote eikä sen todenperäisyyttä ole mistään vahvistettu. Toiseksi, harvat Mac-puolella vielä jaksavat niitä kommentteja lukea yhtä hartaasti kuin Win-puolella luetaan. Ehkä nyt jaksaminen paranee...MacFinn kirjoitti:Mites tää nyt menee. Aina olen lukenut, että torrenteissa kommenteissa varoitetaan, jos on jotain ylimääräistä latauksessa. Ja nyt oli, joten missä oli se varoitus, jos 20 000 kerkesi saastuneen ladata?
Rowan Atkinson on johtanut anglikaanista kirkkoa vuodesta 2002.
– Kuvateksti Aamulehdessä 18.3.2012
– Kuvateksti Aamulehdessä 18.3.2012
-
Sherukka
- Viestit: 8622
- Liittynyt: 27.7.2007 klo 16.10
Re: iWork 2009 troijalainen iwork2009-torrenteissa (PITKÄ)
...ja kuuluisa F-Secure oli todella myöhässä, heidän tuotteensa ei pitkään aikaan löytänyt tätä pöpöä...spiidi78 kirjoitti:Nyt menee kyllä madot ja troijalaiset sekasinsecurapple kirjoitti:Tästä vaikka vertailukohtana kuvaus downandup -troijalaisesta f-securelta, tätä voi verrata integon kuvaukseen iWork-troijalaisesta
-
morbusg
- Viestit: 937
- Liittynyt: 5.6.2006 klo 13.48
- Paikkakunta: Helsinki
Re: iWork 2009 troijalainen iwork2009-torrenteissa
Propellihattupäät voivat suojata esim. /bin, /sbin, /usr/bin, jnejne. file flageillä (vaik system immutable flagillä), niin on ainaki se huoli poissa. Ja /var/log :in alaiset joita ei rotateta (tai sit ottaa rotaatio pois) system append-only:llä. Aina sitten ennen päivityksiä pitää muistaa ottaaa ne pois.
-
Quadra700
- Viestit: 258
- Liittynyt: 19.3.2004 klo 18.39
Re: iWork 2009 troijalainen iwork2009-torrenteissa
Backdoor:OSX/iWorkServ.A
iWork is a suite of productivity applications created by Apple Inc.
The legitimate trial version of iWork can be downloaded from:
* http://www.apple.com/iwork/download-trial/
Illegitimate File Sharing
There are illegitimate copies of iWork 2009 distributed on file sharing sites.
Some of these illegitimate copies contain a malicious backdoor with peer-to-peer functionality.
The backdoor uses a file called iWorkServices and is part of the installer package. This file is detected as iWorkServ.A.
Based on the code the file should install itself to:
* /System/Library/StartupItems/iWorkServices
It does so with equivalent - read+write+execute attribute.
Upon execution, the backdoor checks if it is run as administrator(sudo mode) by using "_geteuid" and "_getpwuid" API and then testing the output for "root".
If it is not executed with sudo rights, it will just exit.
It checks if the file is executed with a filename of "iWorkServices". If it doesn't it will delete the file "/tmp/.iWorkServices". It then create the following files:
* /System/Library/StartupItems/iWorkServices/iWorkServices
* /System/Library/StartupItems/iWorkServices/StartupParameters.plist
* /usr/bin/iWorkServices
The iWorkServices files are copies of itself.
The "StartupParameters.plist" file contains the following data:
* {
Description = "iWorkServices";
Provides = ("iWorkServices");
Requires = ("Network");
OrderPreference = "None";
}
It may attempt to connect to the following:
* 69.92.177.146:59201
* qwfojzlk.freehostia.com:1024
An attacker is capable of downloading and/or executing files using the following P2P commands:
* banadd
* banclear
* clear
* get
* httpget
* httpgeted
* leafs
* nodes
* p2pihist
* p2pihistsize
* p2plock
* p2pmode
* p2ppeer
* p2ppeerport
* p2ppeertype
* p2pport
* p2punlock
* platform
* rand
* rshell
* script
* sendlogs
* set
* shell
* sleep
* socks
* system
* uid
* unknowns
* uptime
Joo, eli eihän tuo ole edes paha. Riittää että blokkaa muurissa liikenteen em. osoitteisiin. Silloinhan mitään "extraa" ei lataudu koneelle.
iWork is a suite of productivity applications created by Apple Inc.
The legitimate trial version of iWork can be downloaded from:
* http://www.apple.com/iwork/download-trial/
Illegitimate File Sharing
There are illegitimate copies of iWork 2009 distributed on file sharing sites.
Some of these illegitimate copies contain a malicious backdoor with peer-to-peer functionality.
The backdoor uses a file called iWorkServices and is part of the installer package. This file is detected as iWorkServ.A.
Based on the code the file should install itself to:
* /System/Library/StartupItems/iWorkServices
It does so with equivalent - read+write+execute attribute.
Upon execution, the backdoor checks if it is run as administrator(sudo mode) by using "_geteuid" and "_getpwuid" API and then testing the output for "root".
If it is not executed with sudo rights, it will just exit.
It checks if the file is executed with a filename of "iWorkServices". If it doesn't it will delete the file "/tmp/.iWorkServices". It then create the following files:
* /System/Library/StartupItems/iWorkServices/iWorkServices
* /System/Library/StartupItems/iWorkServices/StartupParameters.plist
* /usr/bin/iWorkServices
The iWorkServices files are copies of itself.
The "StartupParameters.plist" file contains the following data:
* {
Description = "iWorkServices";
Provides = ("iWorkServices");
Requires = ("Network");
OrderPreference = "None";
}
It may attempt to connect to the following:
* 69.92.177.146:59201
* qwfojzlk.freehostia.com:1024
An attacker is capable of downloading and/or executing files using the following P2P commands:
* banadd
* banclear
* clear
* get
* httpget
* httpgeted
* leafs
* nodes
* p2pihist
* p2pihistsize
* p2plock
* p2pmode
* p2ppeer
* p2ppeerport
* p2ppeertype
* p2pport
* p2punlock
* platform
* rand
* rshell
* script
* sendlogs
* set
* shell
* sleep
* socks
* system
* uid
* unknowns
* uptime
Joo, eli eihän tuo ole edes paha. Riittää että blokkaa muurissa liikenteen em. osoitteisiin. Silloinhan mitään "extraa" ei lataudu koneelle.
Viimeksi muokannut kallekilponen, 23.1.2009 klo 22.55. Yhteensä muokattu 1 kertaa.
Syy: pienennetty edellisen tapaan
Syy: pienennetty edellisen tapaan
--==> Apple Macintosh Plus - 1Mt / 20Mt HD - OS6.0.4 - Microsoft Excel 1.0 - Microsoft Word 1.0 <==--
