Miten havaita MAC -troijalainen ennen asentamista

Keskustelua tietoturvasta ja varmuuskopioinnista Mac-, iPhone- ja iPad -käyttäjien näkökulmasta
Avatar
securapple
Viestit: 631
Liittynyt: 9.7.2008 klo 17.44

Miten havaita MAC -troijalainen ennen asentamista

Viesti Kirjoittaja securapple »

Hei!

Törmäsin hyvään vaikkakin pari vuotta vanhaan macworldin artikkeliin miten havaita haittaohjelman asennuspaketti ennen asennusta. Koska uudetkin haitakkeet ovat samantyyppisiä pätevät nämä osiltaan nykypäivänäkin :

http://www.macworld.com/article/60857/m ... 1021483:z0

1. Aitojen asennettavien levykuvien nimi (image-tiedosto) ei kuvaa asennettavaa ohjelmaa :
Yleensä Mäcissä asennettavaa ohjelmaa vastaava, eli esim. "Remote Desktop Connection". Haittaohjelmissa nimi ei välttämättä kerro mitä paketin sisällä on. Esim RSplug -troijalaisessa paketin nimi oli "76"

2. Ohjelman asennuspakettitiedoston (.pkg) nimi ei ole identtinen levykuvan nimen kanssa
Pakettitiedoston (.pkg) nimen pitäisi vastata ohjelman nimeä, eli edellä mainittu asennuspaketin nimi on "remote desktop connection.pkg". Troijalaisessa ohjelman nimi oli 76, ja se sisälsi "install.pkg" -asennuspakettitiedoston.

3. Asennuspaketin koko on erittäin pieni (alle 100 kilotavua)
Normaalisti ohjelmien koko on satoja/kymmeniä megatavuja, kun taas troijalaisten koko on ollut satoja kiloja. MAC-ohjelmista vain n. 50 / 1300 on alle 100 kilotavua.

4. Asennuspaketin sisällössä on epäloogisuuksia
Troijalaisessa oli paljon tekstitiedostoja, avaamalla 76.info tekstieditorissa löytyi
"Title MacCodec
Version
Description Its a suppa puppa desc yo
DefaultLocation /Library/Internet Plug-Ins/
DeleteWarning"

Eli codecin kuvaus on "Its a suppa puppa desc yo" , kummallinen codecci?

jos .info -tiedostoa ei löydy, Description.plist pitäisi sisältää tietoa paketista. Sielläkin oli tässä tapauksessa (RSPLUG-troijalainen) "Its a suppa puppa desc yo"

Troijalaisessa oli license.txt, jossa käytettiin termejä (licensor, ym) vaikka itse termejä ei oltu määritelty, lisäksi yrityksen nimeä ei oltu mainittu.

Preinstall ja postinstall skriptit : RSPLUG -troijalaisesti (piti olla "video Codec") löytyi ko. skripteistä

"/usr/sbin/scutil << EOF
open
d.init
d.add ServerAddresses * $s1 $s2
set State:/Network/Service/$PSID/DNS"

googlaamalla scutil ei löydy mitään videoihin liittyvää. Miksi codec -asennus kikkailee verkkoasetusten kanssa?

-Securapple
Kyberukkeli
iPhone 6,iPad Air,iPad Mini 3,rMBP-2014 twitter: http://twitter.com/securapple
Ylös

Palaa sivulle “Tietoturva ja varmuuskopiointi”