Botnet infekujący wyłącznie komputery firmy Apple poprzez pirackie oprogramowanie pobrane z torrentów
- Dodano: 21 April 2009
- Wprowadził: bothunterspl
- Komentarze: 41
Specjaliści z firmy Symantec w swoim biuletynie dotyczącym wirusów opisali trojana, który służy jako klient sieci botnet i jest dystrybuowany z piracką wersją (via bittorrent) oprogramowania iWork 2009.
Co ciekawe firma Apple ogłosiła nowy pakiet na konferencji MacWorld 2009, co spotkało się z ożywionym zainteresowaniem ukradzenia tegoż produktu i przyczyniło się do pobrania przez kilkadziesiąt tysięcy osób zainfekowanej wersji aplikacji. Po instalacji uruchamiane są dwie nowe usługi systemowe OSX.Iservice i OSX.Iservice.B (z uprawnieniami administratora), które zajmują się uzyskaniem haseł użytkowników i podłączeniem do sieci botnet. Badacze z firmy Symantec przyznają, że zachowanie i sposób działania trojana wskazuje na profesjonalne podejście tak często obecnie spotykane w oprogramowaniu atakującym konkurencyjne produkty firmy Microsoft. W styczniu 2009 roku podobna kopia tego złośliwego oprogramowania została znaleziona w pirackiej wersji Adobe Photoshop CS4 (także torrent).
Więcej informacji: http://bothunters.pl/2009/04/21/botnet-i...torrentow/
Znalazłeś literówkę? Zgłoś ją używając formularza!
Jeśli uważasz, że ten nius jest nieobiektywny, przedstawia nieprawdziwe wydarzenie, jest spamem lub nie spełnia standardów serwisu, napisz raport.
Niusy na podobny temat:
Komentarze są prywatnymi opiniami dodających je osób. Prosimy o zachowanie kultury wypowiedzi. Komentarze obraźliwe oraz obniżające poziom serwisu będą usuwane. Więcej w regulaminie komentowania.
41 komentarzy
Wszystkie autorskie niusy w serwisie publikowane są na licencji Creative Commons Uznanie autorstwa 2.5 Polska.
"Profesjonalne podejscie"?
Raczej typowe.
przy tym swietny bat na uczciwych inaczej.
Z tego co widzę, jak nie publicznie dostępnego kodu źródłowego – to zawsze jest ryzyko.
A przy otwartym niby nie ma? Postawiłeś całego Linuksa kompilując go z kodu źródłowego, czy może z paczek przygotowanych przez kogoś? Nigdy nie instalowałeś .deb/.rpm z niepewnego źródła?
z niepewnego źrUdła to na pewno.
oczywiście nawet repozytoria mogą być zaatakowane albo nawet podmieniony ich adres w dnsach na lustrzany serwer, ale to są ekstrema. wiele ludzi robi błąd nie instalując kluczy repozytoriów ale komu by się chciało.
a ja tak, kompilowałem sobie całego Linuxa z kodu.
rozumiem, ze zanim go sobie skompilowales (ten kod), to go sobie przejrzales? kazda linijke zaudytowales?
Z niepewnego "źrudła" – nigdy. Mam za to słownik z całkiem pewnego deb'a.
Tak zrobiłem błąd przyznaję się do tego mimo iż linijke wyżej było dobrze napisane.
Wybaczycie mi kiedyś?
ależ linijkę wyżej też z błędem napisałeś
ok, poprawię te dwie twoje "perełki"
"linijke wyżej" znaczy się w poprzednim komentarzu. Dzieki za poprawienie
@clondike: jak już poprawiasz to sam nie rób błędów – deb'a -> deba.
Akuratnie w tym wypadku, otwartość przecież nic nie zmienia. To nie Apple dodało tego wirusa, tylko ktoś kto udostępnił instalator poprzez BitTorrent.
W tym wypadku wrecz otwarty kod ulatwia sprawe bo jest mnij zabawy by dodac program bezposrednio do programu. Sprawa jest oczywosta – nie instalowac programow z niepewnych zrodel.
apt-get install aspell – blagam!
@Mieszko Kaczmarczyk: Niby co w tym przypadku mialaby zmienic dostepnosc kodu zrodlowego? Botnet nie opiera sie na zadnej dziurze w systemie operacyjnym, tylko na glupocie uzytkownika, ktory instaluje oprogramowanie z niepewnego zrodla.
Rozumiem że zawsze czytasz kody źrodłowe programów które kompilujesz żeby być pewnym że nic złego w nich nie ma?
Tja, udział klamotów Apple przekroczył 10% rynku i zaczynają się jaja z malwarem. Teraz 95% malware to syf nastawiony na zysk, biznes, nie opłaca się atakować czegoś, co ma znikomy udział w rynku. Nie ma desktopowego systemu całkowicie odpornego na ataki i pozbawionego błędów, użytkownicy zaś bardzo często dają się wykorzystać, np. w podobny sposób jak przedstwiony powyżej.
.
Swego czasu był przedstawiony PoC wirusa zdolnego do infekowania tak ELFów jak i PE COFF-ów, co za tym idzie przenoszenia się pomiędzy dwoma darzonymi tutaj bardzo skrajnymi uczuciami systemami operacyjnymi. Widział ktoś coś takiego na wolności? Nie? Tylko dlatego, że atakowanie Linuksa jest nieopłacalne – po co tracić fundusze jak Linux ma minimalny udział w rynku desktopów, procentowo więcej niezałatanych systemów jest wśród Windowsów, podobnie ma się sytuacja ze stopniem uświadomienia użytkowników. 95% potencjalnych ofiar (tak ze względu na stan systemu jak i widzy) to użytkownicy Windowsa, ciekawe że i Mac-ami też się ktoś zaczyna interesować.
.
Przynajmniej branża antywirusowa przestanie być taka nudna
(obym nie wykrakał, już teraz ludzi do roboty brakuje).
To co mówisz nie ma absolutnie żadnego znaczenia z jednego prostego powodu:
Z artykułu wyraźnie wynika, że użytkownik musi SAM sobie zainstalować najpierw tego botneta i to razem z PIRACKĄ wersją jakiegoś softu, więc nie ma w tym nic niezwykłego i nie wynika to z dziur w bezpieczeństwie MacOS czy Linuksa.
Jeżeli w Linuksie user też zainstaluje wirusa z użyciem praw roota, to jest tak samo pozamiatane.
Żaden system nie uchroni nikogo przed zwykłą głupotą. Jeżeli ktoś chce sobie popsuć system i ściąga sobie sam wirusy, po czym daje im uprawnienia odpowiednie do zainfekowania, to nikt, nic i żaden system na to nic nie poradzi.
Ma znaczenie – pisałem także o głupocie i stopniu uświadomienia użytkownika. Ale żeby nieostrożne zachowania usera przyniosły zgubny skutek – ktoś musi malware napisać, a to jest kwestia opłacalności.
Że tak to ujmę 'luki' w użytkownikach są tak samo niebezpieczne jak te w oprogramowaniu.
Tylko jak ktoś ściągnie i zainstaluje sobie wirusa/trojana/cokolwiek innego pod MacOS/Linuksem/*BSD to wina użytkownika, to samo pod Windowsem to wina Windowsa/Microsoftu/każdego tylko nie użytkownika i "Windows jest dziurawy jak ser…"
z tym, że w windowsie nie trzeba dawać plikom praw, a i nie trzeba ich samemu instalować, bo się same instalują.
Jak będziesz miał trochę czasu zrób eksperyment. Zainstaluj windowsa podepnij Internet i zostaw komputer włączony na parę godzin po czym uruchom go ponownie i przeskanuj z płytki jakimś antywirusem live cd.
marcinsud, malware'u na nic innego niż Windows się praktycznie nie pisze – w domyślnie instalowanym sofcie w poprzedniej wersji Debiana też są luki, gdyby ktoś się uparł to też namiesza. Taki OpenBSD przez 10 lat miał tylko dwie luki w domyślnej instalacji, dwie luki pozwalające świeżo zainstalowany system przejąć. Polityka OBSD jest taka, że prawie wszystko w systemie jest wyłączone zanim tego user nie włączy – w Windows prawie wszystko jest włączone aby user włączać nie musiał. Trochę obiektywizmu.
@marcinsud
Mówisz o 8 letnim niezałatanym XP? Tak znam ten ból, ja reinstalowałem XP na kompie podłączonym do zasyfionej Sieci osiedlowej kilka lat temu, efekt? Reinstalacja systemu tym razem nie podłączając go do netu dopóki nie będzie antywira i firewalla. Od tego czasu wiele się zmieniło. Choćby w Viście gdzie trzeba pozwolić programowi na namieszanie tam gdzie nie powinien, czy XP SP2 gdzie firewall jest w standardzie (pomijam jego jakość, ale chroni przed dużą ilością syfu z neta).
BTW Właśnie na takiej Viście siedzę (efekt bawienia się nową linuksową aplikacją do zarządzania dyskiem
i to dłużej niż godzinę.
Tak między nami to Vista jakoś rewelacyjnie lepiej niż XP się aktualnie nie prezentuje. Jest zdecydowanie lepiej, ale nie jest idealnie, na Twoim miejscu nie byłbym taki pewny siebie – tak jak w przypadku XP zanim wejdą łaty coś się przypałętać może.
Pewne znaczenie to jednak ma. Rok, dwa, piec lat temu nikomu sie jeszcze nie chcialo/oplacalo przygotowac pirackiego softu z zalacznikiem. Teraz juz sie chce, grupa docelowa jest wieksza.
Mimo to wieksze znaczenie przypisalbym sposobowi dystrybucji oprogramowania; podobnemu na makach i windowsach.
Posiadacze dystrybucji Linuksa stosunkowo rzadko musza i faktycznie pobieraja oprogramowanie spoza repozytoriow.
ale zaraz zaraz- to po co w takim razie rozne MACi (nie mylic z macintoshami) typu SELinux, TOMOYO, AppArmor etc- skoro 'program zainstalowany przez roota moze robic co chce'?
wybacz mi, ale na systemie z zainstalowanym (i, co najwazniejsze- prawidlowo skonfigurowanym) np tomoyo program odpalany z prawami roota/przez roota nie 'namiesza' duzo.
Dla mnie to akurat dziwne, ze "branza" nie intereuje sie makowcami.
Potencjalnie maja oni znacznie wieksze mozliwosci finansowe niz typowy pirat, wiec mozna byloby sie lepiej oblowic przy mniejszym nakladzie pracy.
Moze sie jednak myle.
Tak, ale użytkowników Windowsa jest 9x więcej. Co z tego, że makowcy mają więcej kasy niż część użytkowników Windowsa skoro jest ich zdecydowanie mniej – trudniej o ofiary, rozpowszechnianie bardziej utrudnione itd. To się po prostu nie opłaca jeszcze.
Ci co mają kasę nie ściągają programów z Torrenta.
Jak widać ściągają
I to nawet oprogramowanie swojej ukochanej firmy 
autora newsa uprasza sie o nie mylenie kradziezy, z nielegalnym kopiowaniem.
Zapewniam Cie, ze kradziez tez moze byc legalna, co nie znaczy, ze nie jest kradzieza.
jeden o niebie, drugi o chlebie. EOT
Ależ oczywiście że linux jest lubianym celem ataków. Niektóre serwery linuksowe działaja bez wyłączenia przez lata a to jest idealne rozwiązanie dla złośliwego oprogramowania roznoszącego wirusy itp.
"Badacze z firmy Symantec przyznają, że zachowanie i sposób działania trojana wskazuje na profesjonalne podejście tak często obecnie spotykane w oprogramowaniu atakującym konkurencyjne produkty firmy Microsoft."
Istnieje również możliwość, iż wirusa napisała jakaś konkretna firma (niekoniecznie M$), żeby utrudnić życie konkurencji. Tego typu "przekręty" ze strony różnych firm już zdarzały się w przeszłości.
http://www.symantec.com/security_response/writeup…
Czyżby chodziło o powyższe?
Number of Infections: 0 – 49
+10
I conceive this internet site has got very wonderful pent subject matter articles .
I am always thought about this, thanks for putting up.
I be enduring read a only one of the articles on your website now, and I really like your fashionableness of blogging. I added it to my favorites trap page list and last will and testament be checking promote soon. Divert report register out my orientation as highly and leave to me be familiar with what you think. Thanks.
your internet site is not showing up properly in my browser?
Hey, awesome blog you’ve made.. The length of time did it take you to definitely make this? And where did you get your background??