600 000 Macer er infisert med trojaner

600 000 Macer er infisert med trojaner

Slik sjekker du om du er rammet.

Dr. Web, et russisk antivirus-firma, rapporterte i forrige uke at over 600 000 Macer er infisert av en variant av trojaneren Flashback. Dette kan utgjøre så mye som 1 prosent av alle verdens Macer i aktiv bruk, i følge en beregning utført fra ZDNet.

Til sammenligning berørte den verste infeksjonen av Windows , Conficker, rundt 7 millioner maskiner, noe som kun utgjorde omtrent 0,7 prosent av alle verdens Windows-maskinene på tidspunktet.

Hvordan virker Flashback ?

Flashback er klassifisert som en trojansk hest. Programmet infiserer Mac-en din gjennom nettleseren og leter etter sensitive data som det kan sende til opphavsmennene.

Så fort trojaneren har fått innpass på maskinen, vil den oppdatere en del programmer til å lete etter brukernavn og passord. Dette gjelder primært for nettlesere og andre nettverksbaserte programmer som Skype. Den leter etter en rekke spesifikke domener som Google, Yahoo, Paypal og selvfølgelig nettbanker, deretter sender den disse dataene til eksterne servere i .NU domenet.

Den første versjon av Flashback kom i slutten av september 2011. Den utga seg da for å være en Flash-installasjon og krevde brukerens passord for å installeres. Denne siste versjonen benytter seg av en Java-sårbarhet, og installeres automatisk i bakgrunnen når en bruker besøker websider som er infiserte.

– Per mars skal det, i Googles søkeverktøy, ha vært funnet mer enn 4 millioner infiserte sider som kan smitte Mac-brukere, skriver Dr.Web.

Flashback prøver først å infisere Macen via en av to Java-sårbarheter, hvis en av disse er til stede vil trojaneren installere seg uten at brukeren ser det. Hvis trojaneren ikke greier det, prøver den å lure brukeren til å godkjenne en installasjon ved å vise frem et sertifikatvindu med et self-singed sertifikat. Den jevne bruker vil nok tro at dette er fra Apple og tillate installsjonen ved å trykke fortsett. Inego har lagt ut en dybdegjennomgang av hvordan Flashback fungerer.

Java-sårbarheten ble lukket i en oppdatering fra Sun i februar i år. Mac-brukere kan imidlertid ikke oppdatere Java-installasjonen sin selv, og har måttet vente på at Apple oppdaterte sin offisielle utgave. Det skjedde først 3. april, etter at nyhetene om Flashback-varianten begynte å spre seg på internett. I mellomtiden har altså trolig over 1 prosent av alle Mac-eiere blitt smittet.

Gå til Apples supportside for å laste ned den nyeste oppdateringen som tetter hullet. Merk at Apples Java-oppdatering kun er tilgjengelig for OS X 10.6.8 og senere, hvis du kjører tidligere versjoner av OS X er du fortsatt sårbar for Flashback.

Er du infisert ?

Så langt er over 76 prosent av infeksjonene i Nord-Amerika, et lite antall også i Apples hjemby Cupertino. Kun 15 prosent av infeksjonene er i Europa, der hovedvekten av disse befinner seg i England.

Ett hint om at du kan være infisert er at Safari, og andre nettlesere og nettverksbaserte programmer, kræsjer. Dette skjer fordi den injiserte koden kommer i konflikt med originalkoden i programmene, som igjen fører til at programmet terminerer.

Dr.Webs har et online verktøy som sjekker om du er infisert av Flashback..

Du kan også bruke Terminal på din Mac for å sjekke. Åpne Terminal og kopier inn denne teksten, en linje av gangen:

defaults read /Applications/Safari.app/Contents/Info LSEnvironment
defaults read /Applications/Firefox.app/Contents/Info LSEnvironment
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

Du skal da få svar som ser slik ut:

The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist
The domain/default pair of (/Applications/Firefox.app/Contents/Info, LSEnvironment) does not exist
The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist.

Juan Leon, en programmerer, har laget en app som kan lastes ned fra github. Denne kjører disse Terminal kommandoene automatisk.

Hvis du får svar som er annerledes enn de overstående så er du sannsynligvis infisert.

Om du skulle være infisert, har både CNET og F-Secure guider til hvordan du kan fjerne trojaneren.

Vi anbefaler, som alltid etter en infeksjon, at du bytter alle passord og sikkerhetsspørsmål etter at du har fjernet Flashback.

(Kilder: CNET Dr.Web ArsTechnica Intego Zdnet)

Kommentarer (39)

Forsiden akkurat nå

Dette gjør brukerne nå

Til toppen