Trojan besmet Mac-gebruikers via Java
Gepubliceerd: Donderdag 28 oktober 2010
Auteur: Uhro van der Pluijm
Virusexperts zeggen een Mac OS X versie van de worm 'Koobface' te hebben ontdekt op het internet. De trojan zou zich via sociale netwerksites verspreiden en is een als video vermomde Java applet.
Virusexperts van de website SecureMac hebben een nieuwe worm voor Mac OS ontdekt. De worm, die trojan.osx.boonana.a gedoopt is, verspreidt zich via e-mail en sociale netwerken als Facebook of Twitter en vermomt zichzelf als een video. Boonana is een naar Mac OS X geporte versie van de bekende worm 'Koobface', die vorig jaar al via onder andere Twitter verspreid werd.
Installatieprogramma
Het Trojaanse paard verschijnt als link in een bericht op sociale netwerken met als onderwerp "Is this you in this video?". Als een gebruiker op die link klikt, start er een Java applet die andere bestanden downloadt. Tussen die bestanden zit ook een installatieprogramma, dat automatisch start.
Onzichtbaar
Volgens SecureMac past die installer systeembestanden zo aan dat het gebruik van wachtwoorden omzeild kan worden. Daardoor kunnen buitenstaanders toegang krijgen tot het systeem. De Trojan stelt zich zo in dat hij bij het opstarten automatisch gestart wordt en onzichtbaar in de achtergrond draait. De trojan geeft regelmatig informatie door aan command and control-servers en kaapt daarnaast gebruikersaccounts om zichzelf verder te verspreiden via e-mailberichten.
Het virus probeert zijn acties en internetcommunicatie te verbergen door verdoezelde code via meerdere bestanden te verspreiden. Als de primaire controleservers onbereikbaar zijn, blijkt het virus bovendien contact op te nemen met een set extra servers.
Laag risico
Beveiligingsbedrijven verschillen van mening over de impact van de worm. Waar SecureMac het virus als een ernstig risico beschrijft, stelt antivirusleverancier Intego dat de worm maar een laag risico heeft. Zij stellen dat de uitvoering van de malware gebrekkig is en dat veel van de servers waar het virus van afhankelijk is inactief zijn.
Bovendien, zo stelt Intego, zullen Mac-gebruikers die de applet voor het eerst tegenkomen geconfronteerd worden met een Java veiligheidsmelding. Als zij de applet toegang tot de computer weigeren, houden ze de installatie van de worm ook tegen. De applet is daarnaast ondertekend met een niet-vertrouwd certificaat.
Gebruikers die het virus toch opgelopen hebben kunnen bij SecureMac een gratis verwijderingsprogramma downloaden. SecureMac raadt gebruikers die er zeker van willen zijn dat de trojan niet op hun computer binnenkomt aan om Java in de browser uit te schakelen.
