iWorm
Keskustelua tietoturvasta ja varmuuskopioinnista Mac-, iPhone- ja iPad -käyttäjien näkökulmasta
2 viestiä
• Sivu 1/1
-
- Viestit: 10769
- Liittynyt: 11.4.2008 klo 16.55
iWorm
Viesti Kirjoittaja arttula »
Notta tuommoinenkin mato on olemassa. Tuolla linkissä sanotaan, ettei sitä kuulemma voi havaita OSX:n turvaohjelmilla. Millä sitten?
Maailmassa on vain kolmenlaisia ihmistyyppejä:
Sellaisia, jotka osaavat laskea, ja sellaisia, jotka eivät osaa.
Sellaisia, jotka osaavat laskea, ja sellaisia, jotka eivät osaa.
-
- Porttikiellossa
- Viestit: 243
- Liittynyt: 5.9.2012 klo 13.12
Re: iWorm
Viesti Kirjoittaja LSD »
Apple teki päivityksen suojaukseen (Xprotect ja Gatekeeper) 5 lokakuuta, jolla se esti A, B, ja C- tyypin iWormin asentumisen, mutta ilmeisesti iWormista on joko uusi versio tarjolla, joka pääsee läpi tai suojaukset eivät ole päivittyneet.
Toisaalta bottiverkon koneiden määrä ei ole kuukaudessa kasvanut, joka viittaa siihen että mitään Flashbackin tyylistä epidemiaa ei ole tästä tullut.
MItä, mihin ja miksi?
Haitake asentaa JavaW-nimisen kansion polkuun /Library/Application Support (Ei ilmeisesti tekemistä Javan kanssa). iWorm asentaa takaoven koneellesi. Asentumisen jälkeen se ottaa yhteyttä Reddittiin (= verkkosivusto, jossa käyttäjät voivat jakaa linkkejä kiinnostaviin verkkosivustoihin), josta se etsii kontaktia komentoservereihin, joilla kaapatuista koneista koottua verkkoa ohjataan.
Tuota ryhmää kaapattuja koneita (=botnet) sitten ohjataan haluttuun tarkoitukseen, vaikka palvelunestohyökkäyksiin tai salasanojen murtoon, ihan mihin tahansa yhtäkin konetta voidaan käyttää.
Mistä saa?
iWormin jakajana on kunnostautunut PirateBay ja siellä ”aceprog”-niminen käyttäjä. Hänen jakamissaan Adobe Photoshop, Adobe Illustrator, Microsoft Office ja Parallels fileissä on ohjelmien asennustiedostoja muokattu. (Periaatteessa moinen tartunta voisi olla mahdollista ihan mistä vain)
Miten poistan?
Seuraavat fileet pitäisi poistaa, jos oma kone on saanut tartunnan:
Nuista com.JavaW.plist file ajaa taustalla haittaohjelmaa jatkuvasti taustalla.
Little Snitch
Hauskana yksityiskohtana on että aluksi väitettiin, että em haitta ei asennu, jos koneelle on asennettu koneen nettiliikennettä valvova Little Snitch. Väite ei pidä paikkaansa, mutta Snitch estää kyllä iWormin toiminnan.
Mutta siis uutinen sikäli on paikkansapitävä, että torjuntaohjelmat ovat pitkällä takamatkalla, kuten aina.
ps.
(Katselin oman koneen Xprotect-fileen plistiä se on viimeksi päivittynyt 29.9. joten siinä luonnollisesti ei ole päivityksiä.
Polku /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.plist)
Toisaalta bottiverkon koneiden määrä ei ole kuukaudessa kasvanut, joka viittaa siihen että mitään Flashbackin tyylistä epidemiaa ei ole tästä tullut.
MItä, mihin ja miksi?
Haitake asentaa JavaW-nimisen kansion polkuun /Library/Application Support (Ei ilmeisesti tekemistä Javan kanssa). iWorm asentaa takaoven koneellesi. Asentumisen jälkeen se ottaa yhteyttä Reddittiin (= verkkosivusto, jossa käyttäjät voivat jakaa linkkejä kiinnostaviin verkkosivustoihin), josta se etsii kontaktia komentoservereihin, joilla kaapatuista koneista koottua verkkoa ohjataan.
Tuota ryhmää kaapattuja koneita (=botnet) sitten ohjataan haluttuun tarkoitukseen, vaikka palvelunestohyökkäyksiin tai salasanojen murtoon, ihan mihin tahansa yhtäkin konetta voidaan käyttää.
Mistä saa?
iWormin jakajana on kunnostautunut PirateBay ja siellä ”aceprog”-niminen käyttäjä. Hänen jakamissaan Adobe Photoshop, Adobe Illustrator, Microsoft Office ja Parallels fileissä on ohjelmien asennustiedostoja muokattu. (Periaatteessa moinen tartunta voisi olla mahdollista ihan mistä vain)
Miten poistan?
Seuraavat fileet pitäisi poistaa, jos oma kone on saanut tartunnan:
- /Library/Application Support/JavaW/JavaW
/Library/LaunchDaemons/com.JavaW.plist
Nuista com.JavaW.plist file ajaa taustalla haittaohjelmaa jatkuvasti taustalla.
Little Snitch
Hauskana yksityiskohtana on että aluksi väitettiin, että em haitta ei asennu, jos koneelle on asennettu koneen nettiliikennettä valvova Little Snitch. Väite ei pidä paikkaansa, mutta Snitch estää kyllä iWormin toiminnan.
Mutta siis uutinen sikäli on paikkansapitävä, että torjuntaohjelmat ovat pitkällä takamatkalla, kuten aina.
ps.
(Katselin oman koneen Xprotect-fileen plistiä se on viimeksi päivittynyt 29.9. joten siinä luonnollisesti ei ole päivityksiä.
Polku /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.plist)
Viimeksi muokannut LSD, 5.11.2014 klo 18.23. Yhteensä muokattu 1 kertaa.
”Menin vaatteet päällä suihkuun. Yllättäen vaatteeni kastuivat. Nyt minun pitäisi lähteä kauppaan eikä vaihtovaatteita ole. Mitä minä nyt teen"?
2 viestiä
• Sivu 1/1
Palaa sivulle “Tietoturva ja varmuuskopiointi”
Hyppää
- Yleiset aiheet
- ↳ Ajankohtaista Apple-maailmasta
- ↳ Käyttöjärjestelmät
- ↳ Ohjelmat
- ↳ Yleiskeskustelu
- Mac ja oheislaitteet
- ↳ Yleiskeskustelu laitteista
- ↳ MacBook, MacBook Pro ja MacBook Air
- ↳ iMac
- ↳ Mac mini
- ↳ Mac Pro ja Mac Studio
- ↳ Ongelmia Macin kanssa?
- iPhone, iPad ja Apple Watch
- ↳ iPhone-, iPad- ja Apple Watch -laitekeskustelu
- ↳ iPhone-, iPad- ja Apple Watch -ohjelmat sekä iOS
- ↳ Ongelmia iPhonen, iPadin tai Apple Watchin kanssa?
- Huviksi ja hyödyksi
- ↳ Off-topic
- ↳ Kuva ja graafinen suunnittelu
- ↳ Audio ja musiikki
- ↳ Video, televisio ja elokuvat
- ↳ Pelit ja pelaaminen
- ↳ Ohjelmointi, skriptit ja palvelimet
- ↳ Tietoturva ja varmuuskopiointi
- ↳ Verkot, mobiilidata ja muut puhelimet
- ↳ Retronurkka
- ↳ Foorumin ylläpito
- Kauppapaikka
- ↳ Myydään Mac
- ↳ Myydään iPhone, iPad ja iPod
- ↳ Myydään muut Applen tuotteet
- ↳ Myydään muuta tietotekniikkaa
- ↳ Ostetaan Mac
- ↳ Ostetaan iPhone, iPad ja iPod
- ↳ Ostetaan muut Applen tuotteet
- ↳ Ostetaan muuta tietotekniikkaa
- ↳ Vaihdetaan, annetaan, työtä haetaan ja tarjotaan
- ↳ Kauppapaikan keskustelu ja hintavinkit