Mac Trojan “Flashback” probeert het opnieuw

Geschreven door  | 25 februari 2012 | Categorie: Mac

Apple MalwareIn oktober 2011 probeerde een trojan op allerlei manieren zich op Mac-systemen te nestelen. Het deed zich voor als een Flash Player in de hoop dat gebruikers het zouden installeren.

Gelukkig gaf de interne beveiliging van OS X XProtect voldoende weerstand om de malware te stoppen.

We hebben er een lange tijd niets meer van gehoord maar vandaag is deze Flashback terug in een nieuwe variant. Flashback.G probeert het deze keer met Java of met een vals certificaat.

Wanneer Java op het systeem geïnstalleerd is, probeert de trojan via 2 oude bekende beveiligingsproblemen zich op het systeem te installeren. Het is dus belangrijk om de laatste nieuwe versie van Java te gebruiken. Snow Leopard gebruikers (OS X 10.6) hebben standaard Java geïnstalleerd op het systeem. Lion gebruikers (OS X 10.7) hebben dit platform niet als standaard geïnstalleerd.

Wanneer Java op het systeem geïnstalleerd is kunnen gebruikers deze eenvoudig up to date houden. Updaten kan via Software Update. Klik hiervoor op het ‘Apple Logo’ in de menubalk en kies voor ‘Software Update…’

Als de trojan zich niet kan installeren via de 2 beveiligingslekken van Java dan probeert het de gebruiker te verleiden met een vals ondertekend Apple certificaat zoals hieronder is weergegeven.

Flashback Apple certificaat

Veel gebruikers klikken gewoon door wanneer ze zo’n certificaat verkrijgen. Maar dit is echter een vals certificaat en zo goed als niet van een echt te onderscheiden. Door gewoon door te klikken krijgt de trojan vrij spel.

Wanneer de trojan is geïnstalleerd dan nestelt het zich vooral op browsers en andere netwerk toepassingen. Meestal beginnen deze applicaties vast te lopen door de slordige code in de trojan.

Een eenvoudige controle of deze trojan op je systeem staat is uit te voeren via de Terminal applicatie. Via een eenvoudige commando gaan we op zoek naar verborgen bestanden in de map /Users/Shared. De trojan plaatst hier verborgen bestanden die eindigen op “.so”. Wanneer deze bestanden niet aanwezig zijn dan is je systeem in orde.

Start de “Terminal” applicatie op. Te vinden onder Programma’s → Hulpprogramma’s.
Tik het volgend commando in, gevolgd met de enter-toets: ls /Users/Shared/.*.so
Wanneer de terminal antwoordt met: “No such file or directory” dan is je systeem in orde.
Terminal FlashBack

Het manueel verwijderen van de trojan doe je door deze verborgen .so bestanden te verwijderen samen met de java applet dat zich bevindt in ~/Library/Caches. Doordat de trojan steeds andere namen gebruikt is een kleine zoektocht wel verreist.

Lees ook ons ander artikel: Hoe zit het nu met ongewenste beestjes zoals virussen op de Mac?






Tags: , , , ,

One Response to Mac Trojan “Flashback” probeert het opnieuw

  1. Pingback: Bijna 600.000 Macs wereldwijd geïnfecteerd met malware Flashback

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.


Volg ons...

Facebooktwitter

Meld je aan voor onze nieuwsbrief

Typ uw e-mailadres in om u aan te melden voor onze nieuwsbrief. Maak vervolgens een keuze of u deze wekelijks en/of dagelijks wilt ontvangen.


Door de site te te blijven gebruiken, gaat u akkoord met het gebruik van cookies. meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten