Et nyt hold Malware/Virus rettet mod din Mac

Adwind RAT og Mokes er navnene på to nye stykker malware, der også kan angribe din Mac computer.

Adwind kan åbne en bagdør til din computer og en ondsindet modstander kan i princippet bruge din computer som det var hans eller hendes egen. Adwind er skrevet i Java, så hvis du ikke har Java installeret på din Mac (og det har de færreste), så er du rimelig sikker. Adwind kan selv installere Java, men du vil skulle svare Ja osv. før, at det sker. Adwind spredes som oftest via e-mail, så man skal naturligvis ikke klikke på links i e-mails, så man ikke umiddelbart kan identificere. Med andre ord, er risikoen for at blive inficeret ganske lav.

Mokes er – i skrivende stund – det nyeste stykke malware, der kan inficere din Mac. Mokes laver også en bagdør til din computer som en ondsindet kan bruge til at snage i din computer. Mokes optager ligeledes billeder af din skærm, snager i dine Office filer med mere, og sender dem til ondsindede fremmede. Det er i øjeblikket uvist, hvorledes Mokes installeres fra – altså hvordan man “smittes”.

pic

Hvis du vil undersøge om du er inficeret, så kan du hente og køre værktøjet findadwindmokes. Værktøjet vil søge efter mapper/filer relateret til de to infektioner – og give dig besked om du er inficeret eller ej. Skulle du være inficeret, så er rådet umiddelbart at hente og køre Malwarebytes Antimalware til Mac.

Sikkerhed uden et anti-virus program…

Der findes gode beskyttelsesprogrammer til Mac’en – Sophos og ClamXav har jeg anbefalet som gode gratis løsninger, Integos VirusBarrier som en rigtig god “all-around” løsning for kun kr. 300,-. Problemet – hvis man da kan tale om et problem – er, at disse beskyttelsesprogrammer kræver computerressourcer og derfor kan de gøre din computer lidt langsommere. Ligeledes er mange Mac brugere af en eller anden grund modstandere af beskyttelsesprogrammer, da de mener, at deres Mac er usårlig overfor virus, malware, spyware og hvad det nu altsammen hedder. Jeg vil kort beskrive et par andre muligheder:

DNS servere med indbygget “sikkerhed”. Nortons DNS server – ConnectSafe – lader dig surfe på internettet gennem en server, der filtrerer kendte “snavsede” fra. Hvis du klikker på en internetadresse, der af Norton er kendt som en snavset internetside, så vil du på grund af ConnectSafe blive givet en meddelelse om, at du er på vej til en snavset side. Sikkerheden i ConnectSafe sløver hverken din computer eller din surfing, så denne lille foranstaltning bør alle benytte på deres Mac.

NCS

Beskyt dine mapper. Malware (virus, spyware, trojanere osv.) skal have et sted at starte – uanset om det er på Windows eller Mac. På en Mac er der et antal udvalgte mapper, hvor programmer lægges, hvis programmer skal startes når computeren startes. Det er typisk LaunchAgents, LaunchDaemons og StartUpItems mapperne, at malware starter fra. De nævnte mapper kan du beskytte, så du får en besked inden programmer lægger sig i mapperne – og på den måde kan du forhindre malware i at installere sig på din computer. Der er nogle nemme og én lidt mere besværlig at beskytte mapperne på. En nem måde er, at hente og køre programmet CIRCL-ALOD programmet herfra:

http://www.circl.lu/pub/tr-08/ fra det Luxemburgske sikkerhedsinstitut Computer Incident Response Center Luxembourg. Programmet vil lave en folder action på disse mapper:

/Library/LaunchAgents
/Library/LaunchDaemons
/System/Library/LaunchAgents
/System/Library/LaunchDaemons
~/Library/LaunchAgent
/Library/StartupItems
/System/Library/StartupItems
/Library/Internet Plug-Ins
~/Library/Safari/Extensions
~/Library/Application Support/Google/Chrome/Default/Extensions
~/Library/Application Support/Opera/widgets
~/Library/Internet Plug-Ins
~/Library/Containers/com.operasoftware.Opera/Data/Library/Internet Plug-Ins
~/Library/Containers/com.operasoftware.Opera/Data/Library/Application Support/Opera/widgets

… der medfører, at du får en advarsel hver gang et program forsøger at lægge filer i én af de 14 mapper.
ALOD
Hvis du selv vil lave en beskyttelse magen til den de laver i Luxemburg, så er der en lidt mere besværlig metode er beskrevet HER,  hvor teknikken er beskrevet yderligere.

Et par tilsvarende nemme måder er at benytte ét af programmerne LingonX (find i AppStore) eller BlockBlock:

lingx

BlockBlock

bb

Hosts fil filtrering. Hvis du ønsker at bruge din hosts fil til beskyttelse af din Mac, så er GasMask (http://clockwise.ee/) en mulighed. Der er ikke stor forskel på DNS filtreringen beskrevet ovenfor (ConnectSafe) og hosts-fil beskyttelse. Man kan kombinere de to muligheder uden problemer – og alt andet lige vil du ikke lægge mærke til den ekstra beskyttelse på din computer. Hvis du vil bruge Gasmask, så skal du blot hente programmet og hente hosts filen fra MVPS (klik “Create -> Remote og indsæt dette link: http://winhelp2002.mvps.org/hosts.txt).

gasmask

Bedste anti-virus til Mac

Man skal altid tage  tests af anti-virus programmer med et gran salt, men derfor kan man jo godt skrive om dem. Og da AV-comparatives ikke har udgivet en test af anti-virus programmer til Mac i år (endnu), så kan vi kigge på tyske AV-TEST.

https://www.av-test.org/en/news/news-single-view/12-security-suites-for-mac-os-x-put-to-the-test/ AVT1

Konklusionen er, at BitDefender og ESET klarer sig bedst, hvis man både ønsker 100 % beskyttelse (mod kendte trusler) og minimal belastning af systemet. I sig selv ikke særlig interessant, men det er da interessant, at Tom’s Guides når frem til et ganske anderledes resultat selvom de også baserer deres resultat på AV-TEST.

http://www.tomsguide.com/us/best-antivirus,review-2588-6.html

I Tom’s Guides er det således Avira, der løber med sejren – og det er endda gratis.

anmeldelser

…og så kom AV-comparatives med deres vurdering HER

Her gengivet i Computer World:

http://www.computerworld.dk/art/237647/stortest-af-10-antivirusprogrammer-til-mac-her-er-det-overraskende-resultat

Eleanor, keydnap og Pirrit – ny malware rettet mod din Mac

OPDATERING – OPDATERING

Siden nedenstående indlæg er skrevet er keydnap nu dukket op, pakket ind i programmet Transmission (Transmission2.92.dmg). På den måde er det lykkedes keydnap at blive spredt (få dage) inklusiv et godkendt certifikat. Hvis du har hentet Transmission for nylig (i perioden 28-29.  august), så bør du undersøge om din computer er blevet inficeret – se mere HER.

Intego har lagt deres artikel HER.

***********************************

Efter en længere tids pause i malware rettet mod Mac’en, så er det igen blevet tid til at være opmærksom. Hele tre stykker malware er blevet rapporteret den seneste uges tid – Eleanor, Keydnap og Pirrit. Men lad os tage konklusionen først…

Infektionerne er ikke signeret, hvilket betyder, at din Mac er beskyttet, hvis du har indstillet GateKeeper til ikke at acceptere hvad som helst… Med andre ord, du skal have sat din Mac til kun at acceptere programmer fra App store’n og eventuelt kendte udviklere (Systemindstillinger -> Sikkerhed og Anonymitet):

GateK

Herudover er din Macs XProtect opdateret, så den forhindrer download af Eleanor og Keydnap. DET ER VIGTIGT, at du bruger din Macs indbyggede beskyttelsesfunktioner!

1. Eleanor, OSX/Eleanor eller Backdoor.MAC.Eleanor er det første stykke malware blevet døbt. Den gemmer sig i programmet EasyDoc Converter og giver fremmede fuld adgang til din Mac, hvis du bliver inficeret.

Hvis du har programmet LittleSnitch installeret vil du ligeledes være beskyttet, idet Eleanor undersøger dette – og hvis LittleSnitch er installeret, så opgiver Eleanor forsøget på at inficere din Mac. Hvis du er i tvivl om, hvorvidt du er inficeret, så tag et tur med Malwarebytes Antimalware.

En længere beskrivelse af malware’n kan findes ved Bitdefender HER

2. OSX/Keydnap er navnet på nr. 2 stykke malware. Keydnap er malware, der kan kigge i din keychain og finde brugernavne og kodeord, der normalt ellers vil være skjult. Det er uklart, hvordan den spredes, men der gættes på vedhæftede filer i reklamemails eller downloads fra diverse download internetsider. Som Eleanor er Keydnap heller ikke signeret, og igen er du beskyttet, hvis din GateKeeper er indstillet som vist ovenfor.

En længere beskrivelse af malware’n kan findes ved ESET HER

3. OSX/Pirrit er det 3. stykke malware. Omend ganske avanceret, så er Pirrit blot et stykke adware, der vil “bombardere” din internet aktivitet med reklamer, ligesom din startside formentlig vil blive ændret til noget i stil med search-quick.com (hvis du er i Danmark).

En lang beskrivelse af malware’n kan findes hos Cyberreason HER

Hvis du er ramt af Pirrit, så bør du kunne se det, idet du som nævnt vil blive ramt at en stor mængde reklamer, når du surfer på nettet. Hvis du alligevel er i tvivl og vil undersøge det, så åben en Terminal og skriv

dscl . -list /Users UniqueID | grep 401

Hvis der ikke er et output, så er du ikke inficeret.

iTunes database inficeret – nej, det er svindel og bedrag…

(ref.: ESET blog)

Nej, iTunes er ikke inficeret af virus, men ondsindede scammers forsøger at franarre dig dit apple-ID med brugernavn, kodeord og meget mere. Det hele starter med en e-mail, der forsøger at gøre det ud for at være fra Apple.

Hvis du klikker på linket i e-mailen, så bliver du ført til en internetside, der er lavet som en login side til iTunes Connect. Her bliver du bedt om at taste dit Apple ID samt kodeord, hvilket man naturligvis ikke skal gøre. Herefter føres du videre til en ny side, hvor du blandt bedes om at indtaste din kreditkort detaljer.

Tjah – alle alarmklokker burde ringe, men hvem ved, hvad man kan finde på at gøre i den situation. Skulle du modtage denne “phishing scam”, så bør du sende den til reportphishing@apple.com, der vil bruge din mail til efterforske yderligere i sagen.

Værktøjer til Mac rensning og vedligeholdelse

Jeg har skrevet et længere indlæg om Mac rensning, fejlfinding og vedligeholdelse. Det passer dårligt til en blog, så jeg har måtte lave en ny side – som du finder ved at klikke på menupunktet foroven:

menu

I indlægget skriver jeg kort om nogle anvendelige analyse programmer, der kan hjælpe dig, hvis du har problemer med din Mac. Endvidere kan du finde lidt skriveri om rensning i tilfælde af virus og lignende snavs.

God fornøjelse

AceDeceiver – rolig nu…

I går modtog jeg en “Security Alert” fra et sikkerhedsfirma. Firmaet advarede mod de “mange” trusler mod min Mac computer – og opfordrede mig til at investere i deres produkt, der vil beskytte mig mod de mange trusler. Specifikt blev jeg advaret mod AceDeceiver, som angiveligt kan inficere min iPhone/iPad uden  jeg opdager det. Derudover blev jeg advaret mod “typosquatting” websider.

sa

Jeg kan ikke lade være med at blive en anelse irriteret over dette forsøg på at skræmme mig til at købe sikkerhedssoftware. AceDeceiver inficerer iPhones/iPads, hvis jeg opdaterer dem via en inficeret Windows computer, hvis jeg henter én af 3 navngivne apps OG hvis jeg samtidigt bor i Kina. Der er med andre ord ikke stor risiko for at jeg bliver inficeret af dette stykke Malware.

Typosquatting er måske en lidt større risiko, idet den nævnte trussel omhandler en række internetsider, der spreder Adware. Denne trussel udnytter brugerens skrivefejl, så hvis du eksempelvis skriver facebookc.om i stedet for facebook.com (bemærk, at punktum er sat forkert i den første adresse), så havner du på en internetside, der kan inficere din computer. Personligt bruger jeg som oftest genveje, så risikoen for at skrive forkert er ikke stor.

En meget kort beskrivelse af to “trusler” mod min computer, som jeg som sagt bare er irriteret over at blive advaret imod. Sikkerhedsfirmaer skal være troværdige og ikke forsøge at overdrive trusler med henblik på at få solgt deres produkter.

EtreCheck – en hjælp til at finde og løse problemer på din Mac

EtreCheck undersøger om der skulle være problemer...

EtreCheck er et lille værktøj, der kan hjælpe dig med at give et overblik over, hvad der sker på din Mac computer. Synes du, at det hele går lidt langsommere end normalt, eller oplever du andre problemer på din Mac, så kan du med EtreCheck hurtigt få lavet en kort og overskuelig log, der rapporterer status fra de mest almindelige områder, der kan skabe problemer på Mac’en. Log’en viser informationer om følgende områder:

  • Hardware Information
  • System Software
  • Disk Information
    ******************
  • Kernel Extensions
  • Problem System Launch Daemons
  • Problem System Launch Agents
  • Launch Daemons
  • Launch Agents
  • User Launch Agents
  • User Login Items
    ******************
  • Internet Plug-ins
  • Old Applications
  • Time Machine
  • Top Processes by CPU
  • Top Processes by Memory
  • Virtual Memory Information

Første gruppe giver dig lidt grundlæggende information om computeren.
Anden gruppe af informationer viser, hvad der startes og kører i baggrunden når computeren er startet.
Tredje er en gruppe af “diverse” forhold, der også kan give en indikation er problemer.

Hvis du ikke mener, at du har de fornødne forudsætninger for at tolke log’en, så kan du altid lægge den i ét af de mange fora, der hjælper os almindelige brugere med at give råd og vejledning.

Eksempelvis:

http://www.macforum.dk/forum/forum/mac-hj%C3%A6lp (dansk)
http://forum.spywarefri.dk (dansk, ikke mac eksperter, men mægtig venlige)
https://discussions.apple.com/welcome (engelsk)

ref.: https://discussions.apple.com/docs/DOC-6173

Ransomware på Mac (OSX). KeRanger – en ny trussel mod din Mac sikkerhed?

Så skete det også for Mac‘en. For et par uger siden var det Linux Mint’s internetsider der blev hacket, og en malware inficeret version af Mint blev lagt op, så intetanende brugere hentede malware når de troede, at de hentede en opdateret version af Linux Mint. Nu er det sket for Transmission – internetsider er blevet hacket og en malware inficeret version af Transmission er blevet lagt op til download.

Mac sikkerhed ransomware

Dette trick afslører så én af de første stykker Ransomware rettet mod Mac/OSX og en fornyet trussel mod din Mac sikkerhed. Den inficerede version af Transmission er signeret med et legalt certifikat, så Mac’ens Gatekeeper ikke standser download. Efterfølgende er certifikatet blevet trukket tilbage og xProtect er ligeledes blevet opdateret, så du ikke længere kan hente malware’n ved en fejl (MacWorld artikel). Men hele operationen afslører dog, at der i kriminelle kredse arbejdes med at udvikle Ransomware rettet mod Mac/OSX.

Rådet er: BACK-UP, BACK-UP og BACK-UP

I første omgang skal du undgå Transmission version 2.9, men det bedste råd, der gælder i alle tilfælde er, at lave jævnlige back-ups af din Mac – især dine vigtige personlige data (billeder, dokumenter osv.). Den nævnte Ransomware vil også forsøge at kryptere TimeMachine filer, så det er vigtigt, at du gemmer dine back-ups på et eksternt medie (ekstern harddisk).

For de mere teknisk kyndige:

PaloAlto: http://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer/

Intego: https://www.intego.com/mac-security-blog/mac-users-hit-by-rare-ransomware-attack-spread-via-transmission-bittorrent-app/

Opdatering: Der bliver lagt mange artikler ud om KeRanger i disse dage – her er et af de mere nyttige:

https://www.intego.com/mac-security-blog/mac-users-hit-by-rare-ransomware-attack-spread-via-transmission-bittorrent-app/

Mac malware gennem 10 år…

Der sker ikke meget på Malware fronten, når det handler om Mac computere – men noget sker der da. Eksperterne på Intego har lavet en lille tidslinje, der illustrerer de grimmeste trusler mod Mac’en de seneste 10 år. For at få fyldt billedet ud, har man været nødsaget til at inkludere lidt iPhone (iOS) malware, og sandt at sige, så er der ikke meget at snakke om. Jeg tør ikke at tænke på, hvordan billedet havde set ud for en Windows PC, men vi (Mac brugere) skal være glade for vores relativt sikre Mac.

© link fra Intego