The Black Forest

1227. Submitted on 2006/2/17, 12.44 h by Arduenn:

Alweer een 'worm' voor Apple

[Update] De losers van F-Secure willen meerijden op de hype en komen met 'nummer 2', de 'OS X/Inqtana'. Een proof of concept, dat eigenlijk nog niet 'in het wild' is gezien en waarvoor Apple eigenlijk zelfs vorig jaar al een patch voor had vrijgegeven. Toch leuk geprobeerd die titel Second OS X virus exploits Bluetooth flaw, maar weer loos alarm. Ik ben benieuwd hoeveel van die zutbedrijven zullen volgen met pakkende titels.

[Note to self] Strakjes die handige commentaren bij /. nog even doorspitten. De maker van Maelstrm en vele andere leuke spelletjes, Ambrosia Software, heeft een puik overzicht van de situatie.

... it then checks to see if the xattr 'oompa' of the application executable is > 0... If so, it bails out, to prevent it from re-infecting an already infected application. If not, it sets the xattr 'oompa' of the application executable to be 'loompa' (this does nothing, it is just a marker that it has infected this app)

Grappig. Oompa Loompa-mannetjes waren toch van die belerende kereltjes die stoute kindertjes een lesje wilden leren, net zoals de anti-virus-softwarebedrijven steeds op belerende toon de Mac-gebruikers waarschuwen voor mogelijke virussen? Dat geeft te denken.

[image]

Oompa loompa doompadee do / I've got a perfect puzzle for you / Oompa loompa, doompadah dee / If you are wise you'll listen me / What do you do when you have Mac OS / Thinking viruses have no succes / What are you at feeling very secure / Will Mac OS X ever keep such tenure / I don't like the look of it / Oompa loompa doompadee dah / If you're not smug you will go far / You will live in happiness too / Like the oompa loompa doompadee do Arduenn

[Het originele bericht] Alweer een 'worm'-waarschuwing voor Mac OS X. De zoveelste (vierde derde, eerste, tweede) waarschuwing in zes jaar tijd. Zoals bij alle voorafgaande briljante ontdekkingen kan ook deze worm niet uit zichzelf verspreiden, maar moet eerst geaccepteerd worden voor ontvangst, waarna het pakket moet worden genstalleerd, hetgeen alleen kan met behulp van een admin-wachtwoord. Symantec geeft de worm security thread level 1 (low), wat naar mijn smaak al veel te veel eer is. We hebben hier te maken met een zogenaamde non-worm, de zoveelste, waarmee het aantal virussen/wormen voor Mac OS X sinds de introductie van het systeem in 2000 op een totaal van 0 (zegge "nul") komt.

Nog even een mededeling voor Symantec: Nice try, but I'll never buy your crappy anti-virus software, even if Mac viruses do emerge.

There are 19 comments to this post (the latest by Boramor on 2006/2/21, 14.25 h).

1. Boramor commented on 2006/2/17, 16.29 h:

En als je dan toch een antivirusprogramma wilt draaien, bijvoorbeeld binnen een bedrijfsnetwerk om je Windows-maatjes niet te molesteren, gebruik dan ClamXav.

2. Arduenn commented on 2006/2/17, 16.46 h:

Ik zie altijd aan de attachment in mijn e-mails of er een virus in zit (het zijn altijd binaries tussen de 25 en 200 kb met hele rare extensies), maar die komen altijd automaties in mijn spamfolder dus zelfs ClamXav is nogal overbodig.

En, ja kom zeg, een beetje kindermeisje spelen voor je collega's en virussen voor ze detecteren. Ik heb een Mac zodat ik geen virussen hoef te detecteren. Waarom moet ik dat dan voor anderen doen? *mopper* Ik moet hier voor iedereen ook altijd al 'onleesbare' USB-sticks lezen, files van A naar B over een netwerk verzenden als ze te groot zijn om te e-mailen, backup-CD's branden, ook al is er een draagbare CD-schrijver aanwezig, PDF's uitprinten omdat dat over het Novell-netwerk niet kan, 'defecte' Word- en Powerpoint-files rescjoewen... *grunt*

3. Boramor commented on 2006/2/17, 16.56 h:

Je zou bijna zeggen dat je lijdt onder een goed product, al is het door de stommiteiten van anderen.

Hopelijk zullen zij op een keer inzien dat switchen toch een betere oplossing is.

4. Godi commented on 2006/2/17, 18.49 h:

Nou, maak je borst maar nat:

http://www.pcmag.com/article2/0,1895,1923151, 00.asp

5. Kittekat commented on 2006/2/17, 19.12 h:

Ik heb altijd het volgende vreemde probleem met dit soort teksten. Ik lees: The idea that Apple would ditch its own OS for Microsoft Windows came to me from Yakov Epstein, a professor of psychology at Rutgers University, who wrote to me convinced that the process had already begun. I was amused, but after mulling over various coincidences blaaabstagrtshkssss hmmm vanavond lekker wat te eten flesje wijn hmmmmblanco.

6. Dave commented on 2006/2/17, 20.27 h:

@Kittekat: Maar ik heb de opener nog!

@Arduenn: Ik ben niet onder de indruk. Ik las ergens dat het virus niet zou promten om een wachtwoord, maar dat schijnt onzin te zijn. Zonder toestemming mag het virus zich dus niet nestelen. Het heeft dus nog steeds een sociaal truukje nodig. Een virus in je mac betekent dus dat je dom of dapper was.

En andermaal geldt weer dat de waarschuwingen talrijker en irritanter zijn dan het virus zelf.

Zullen wij ook een virus maken? Genoeg kennis hier toch?

Een programma dat zichzelf via Adiumx kan versturen. Dat moet te scripten zijn. En dan moet er nog een leuk plaatje in. Dat wordt wereldfaam.

7. Kittekat commented on 2006/2/17, 22.20 h:

Ik kom 'm zondag ophalen, die kurketrekker! En alle zolderzooi:)

8. D. commented on 2006/2/18, 3.02 h:

Lekker kopje thee. Fijn het weekeinde in. Vandaag voor 't eerst in m'n leven een Ipod gezien. Vriending was heel blij. Ik vond 't een mooie spiegel.

9. Arduenn commented on 2006/2/18, 7.32 h:

@Godi = Hahaha. Die PC Magazine toch!

10. Arduenn commented on 2006/2/18, 10.17 h:

LOL@ dit commetaar bij /.

My OSX virus (cross-platform actually)

#!/bin/bash

sudo rm -rf /

A really nasty one too. Naturally, you'll need to enter your admin password to operate it... but that's the rule for Mac viruses, after all.

11. Ton commented on 2006/2/20, 9.40 h:

En toch gelden security 'best practice' regels ook voor OS X gebruikers. Mijn Mac draait iig ClamXav heeft netjes de firewall aan achter de NAT router van den ADSL verbinding. De mentaliteit van 'het is OS X dus ik hoef mij niet druk te maken' trekt malware schrijvers aan zoals stroop vliegen aantrekt.

12. Ton commented on 2006/2/20, 9.41 h:

Zorry voor de dubbelpost, maar ik drukte op Submit ipv Preview:

OS X is ingewikkeld en in tegenstelling tot wat velen denken bevat het niet zomaar een BSD omgeving, maar heeft ook nog eens 3 grote programmeeromgevingen en allerlei code om dat aan elkaar te plakken. Ik kan me zo voorstellen dat daar wel een paar gaten inzitten.

13. Arduenn commented on 2006/2/20, 10.05 h:

De mentaliteit van 'het is OS X dus ik hoef mij niet druk te maken' trekt malware schrijvers aan zoals stroop vliegen aantrekt.

Helemaal mee eens.

Een paar gouden regels die het systeem schoon houden:

- Geen admin-account voor alledaags gebruik.

- Geen onodige services draaien.

Er zijn er vast nog wel een paar, maar deze voorkomen al een hoop ellende.

14. peter commented on 2006/2/21, 11.37 h:

Maar nu is het menens? http://www.heise.de/english/newsticker/news/6 9862

15. Ton commented on 2006/2/21, 11.55 h:

Je was me net voor Peter, het ziet er idd naar uit dat dezelfde soort fouten gemaakt wordt door Apple als bij Microsoft. Er bestaan gewoon geen 'veilige' downloads, alle bestandstypen kunnen gemodificeerd worden om zodoende een bufferoverflow te genereren.

16. Boramor commented on 2006/2/21, 12.08 h:

Maar daarnaast is het nog steeds een fout van de user. Hij/zij vertrouwt alles van het internet door dat uitpakken automagisch aan te zetten. En als je daarna dubbelklikt op een bestand wat in zijn info duidelijk Terminal File heeft staan ben je slecht bezig.

17. peter commented on 2006/2/21, 12.11 h:

Punt voor Boramor.

Iets anders: Ik installeerde eens die ClamAV die iemand hier adviseerde. gewoon voor de lol. ClamAV detecteerde enkele wormen in mijn mailboxen. Biedt ClamAV geen optie om die mail dan maar te verwijderen?

Of zit ik hier op het verkeerde forum ;)

18. Hank commented on 2006/2/21, 12.29 h:

Toch niet helemaal een punt voor Boramor. Standaard staat uitpakken van 'vertrouwde' paketten aan. Dat is natuurlijk een fout van de leverancier. Paketten horen standaard natuurlijk niet uitgepakt te worden.

Niet alle gebruikers zijn powerusers die weten hoe je een nieuw, non-admin account kan aanmaken en niet iedereen kijkt meteen in de preferences van een nieuw programma voordat ie er mee aan de slag gaat. Het is dus de taak van de programmamakers om er voor te zorgen dat iets, ook voor n00bs, veilig is.

19. Boramor commented on 2006/2/21, 14.25 h:

Helemaal mee eens hoor Hank,

ik vind ook dat dat soort opties standaard uit moeten staan. Lijkt mij ook nogal logisch.

En wat betreft die taak van de programmamakers, waarom zouden ze? Daar heb je toch antivirus software voor? Oftewel, dit is big business! ;)

Add new comment:

Name:

Site:

The Black Forest navigation bar

|< : << : : >> : >|