Un trojan nelle copie pirata di iWork'09

[zephyr83]

scusate ma si da la colpa agli utonti (dire iTonti ) perché scaricano un programma pirata e nn fanno caso che devono inserire la password due volte.....ma allora lo stesso vale anche per windows! se solo microsoft impostasse di default la crezione di un utente NON amministratore tutti i vari malware praticamente dipenderebbero solo dalla "poca attenzione" dell'utente. a sto punto il livello sicurezza di windows e di osx mi sembra sullo stesso livello. anzi mi sa che ci sn più exploit da scoprire su osx che su vista.
Scommetto che se i creatori di questo trojan si fossero impegnati di più avrebbero anche evitato la seconda richiesta di password.

[macfanboy]

Quote:

Originariamente inviato da krissparker

visto che non esiste nessun istaller che autentica 2 volte...

Di questo non ne sarei certissimo. La suite Adobe è particolarmente incasinata a riguardo. Lancia almeno TRE applicazioni quando si installa e, se non ricordo male, chiede la password più di 1 volta.

Comunque in effetti è il primo Trojan veramente furbo per Mac (per come si installa). Cioè la prima VERA minaccia della sicurezza su MacOS X (le 2-3 precendenti che erano uscite erano poco più che DEMO e con diffusione pressoché nulla).

Ciò non toglie che OS-X si sempre ancora almeno 10.000 volte più sicuro di Win (considerando la minaccie dal punto di vista strettamente numerico).......

Volendo sono anche facili da individuare Trojan di questo tipo.
Su OS-X c'è un'opzione del firewall (integrato) che permette di intercettare le connessioni di rete esterne dei programmi e di bloccarle in via definitiva. Avendola attivata ci si può accorgere subito di un'attività di rete anomala di un'applicazione: iWork non ha necessità di collegarsi ad internet senza avvertire.

[Shummy]

Quote:

Originariamente inviato da gianly1985

E che è, il SERIALE AVVELENATO??? Se uno fa questo che hai detto tu non corre nessun rischio! Il problema sono SOLO i "pacchetti" che si trovano sui circuiti illetici che contegono proprio un file in più!! (un file .pkg)
Quindi chi scarica dal sito apple non corre nessun rischio......
Quello che dovete trovare nel DMG è SOLO questo:


Se ci sono altri files avete scaricato un pacchetto col Trojan...
Ah, la password ve la deve chiedee UNA SOLA VOLTA. (per chi se lo fosse perso)

La gente a casa di tutte ste' cose non ne sa nulla....scaricano ed installano senza guardare ai "pacchetti" come stai idicando tu o addirittura osservare come professionisti a quante volte devono digitare la passw amministrativa.

se cosi' non fosse e non ci fosse questa negligenza anche sotto windows nessuno prenderebbe malware sotto .Il problema e' a chi sono dati in mano i computer ..quindi queste stesse cose che dici le dovresti dire anche per windows non solo per osx per difenderlo

Quote:

Originariamente inviato da gianly1985

Bè colpa loro.....
Concordo comunque che l'idea di sicurezza assoluta (mica tanto poi...in osx ci sono spesso avvisi di sicurezza tipo "Sicuro di voler aprire questa cosa scaricata da web?") possa condurre qualche utonto a stare fin troppo tranquillo. Fermo restando che se è così scafato da "fregare" il software potrebbe fare anche lo sforzo di imparare a stare attento....

Finchè si richiede autorizzazione e password comunque siamo ancora in un ambito in cui l'Os ha la coscienza a posto ed è colpa solo dell'utente, non sono security issues, è solo fare quello che dovrebbe esser fatto, cioè autorizzare un programma autorizzato dall'utente.

un utente a casa non puo' stare attento e sapere se il software pirata da installare che ha scaricato dal p2p e' con o senza malware se sul sistema come osx non usa un antiviruys/antimalware che gli dica : guarda che si sta installando questo malware,l'ho rilevato e te lo blocco come su Windows

come fa la gente a casa ad accorgersi se ha malware su osx se non usa un antimalware??

mi sembrano cose normali da capire e sopravvalutate troppo l'utente comune a casa che ha in mano i computer

[gianly1985]

No ma io non sto dicendo che non sia una minaccia per gli utenti comuni, quello che dici è giustissimo, io stavo solo facendo un distinguo tra questioni si sicurezza imputabili al SISTEMA e questioni di sicurezza che invece non sfruttano falle del sistema ma normalissimi comportamenti del sistema. (es. fare quello che dice l'utente se l'utente lo autorizza con password). Se si apre la porta agli zingari, poi non si sta a ragionare su quanto la porta era poco robusta, questo contestavo ad alcuni ragionamenti fatti qua...

[m_w returns]

fanno tanto i fighetti a comprare l'apple da 2000€ e poi si vanno a scaricare i programmi crakkati per risparmiare 200€!ben gli sta....

EDIT: il resto lo tolgo va sennò poi c'è chi rosica e mi fa sospendere.

[leoneazzurro]

Quote:

Originariamente inviato da m_w returns

fanno tanto i fighetti a comprare l'apple da 2000€ e poi si vanno a scaricare i programmi crakkati per risparmiare 200€!ben gli sta....

EDIT: il resto lo tolgo va sennò poi c'è chi rosica e mi fa sospendere.

E perchè invece non evitiamo del tutto il cercare di accendere flame? Ammonizione.

[m_w returns]

Quote:

Originariamente inviato da leoneazzurro

E perchè invece non evitiamo del tutto il cercare di accendere flame? Ammonizione.

scusami, ma non volevo mica creare flame, mi pare una verità...uguale in tutto e per tutto a quegli utenti Microsoft che scaricano versioni piratate di Office.
Mi sembra un'ammonizione alquanto ingiusta.

[leoneazzurro]

Quote:

Originariamente inviato da m_w returns

scusami, ma non volevo mica creare flame, mi pare una verità...uguale in tutto e per tutto a quegli utenti Microsoft che scaricano versioni piratate di Office.
Mi sembra un'ammonizione alquanto ingiusta.

A me sembra invece che parlare sempre di "fighetti", senza tralasciare quello che hai editato ma che mi è stato riportato in fase di segnalazione, e di gente che "rosica e che mi fa sospendere" come se non si fosse responsabili di ciò che si scrive, sia abbondantemente oltre la soglia dell'ammonizione. Adeguiamoci.

[jo.li.]

Per chi fosse "interessato" al problema riporto i passi da seguire se si volesse eliminare il programma incriminato dal sistema attraverso l'uso del Terminale di OSX:

1) Lanciare l'applicazione Terminale
2) sudo su (inserire la propria password)
3) rm -r /System/Library/StartupItems/iWorkServices
4) rm /private/tmp/.iWorkServices
5) rm /usr/bin/iWorkServices
6) rm -r /Library/Receipts/iWorkServices.pkg
7) killall -9 iWorkServices

Oppure ancora più facilmente scaricare un programma gratuito scritto appositamente per eliminare il problema su macscan.

[macfanboy]

Comunque secondo me questo Trojan segna un punto di svolta per gli utenti Mac. Ora bisogna stare più attenti.

Anche se non si tratta strettamente di una falla dell'OS, questo è Social Engineering allo stato puro e con il social engineering non c'è OS che tenga, il fatto che ora esistano malware del genere anche per OS-X non si può ignorare.

Da parte mia consiglio di attivare il firewall di OS-X per chi non l'avesse fatto. In particolare configurare "l'accesso a applicazione e servizi specifici".




Se si configura questa opzione l'OS richiederà conferma quando un'applicazione vuole accedere alla rete e c'è la possibilità di bloccarla o abilitarla in via definitiva. Non sono molte le applicazioni che hanno bisogno di farlo e una volta che l'applicazione è abilitata/bloccata non si è più disturbati da messaggi di conferma. Quindi è un'opzione abbastanza indolore.

Lo ripeto perchè forse questa è una feature non molto nota di Leopard. Analoga funzione si poteva in precedenza (e ancora oggi) ottenere con il software LittleSnitch, che però è molto più rompiscatole, tipo Vista.

[theJanitor]

Quote:

Originariamente inviato da macfanboy

Comunque secondo me questo Trojan segna un punto di svolta per gli utenti Mac. Ora bisogna stare più attenti.

Anche se non si tratta strettamente di una falla dell'OS, questo è Social Engineering allo stato puro e con il social engineering non c'è OS che tenga, il fatto che ora esistano malware del genere anche per OS-X non si può ignorare.

non è che l'inizio.......

[noel83]

ragazzi non so se lo sapete
ma per avere iWork 09

basta scaricare la prova dal sito Apple
e inserire un serial "buono" e c'è l'avete definitivo e attivato


tra l'altro chi è così scemo da scaricare un torrent con iWork 09+Trojan?

[theJanitor]

Quote:

Originariamente inviato da noel83

tra l'altro chi è così scemo da scaricare un torrent con iWork 09+Trojan?

secondo la società citata dalle news almeno 20.000 persone

ma poi ti sembra così strano che ci sia gente idiota che scarica warez condito dal p2p???
e più aumenterà la gente che usa OSX più aumenteranno questi casi...... contro l'idiozia non esiste sistema operativo sicuro

[cocky]

Ma come fanno a sapere che sono state 20.000 persone ad averlo installato se per scaricarlo si usa il p2p ?

Non è che sto "trojan" è semplicemente un programmino che "telefona" a qualcuno per far sapere che l'Iwork craccato è stato installato?

Hanno già provato cosa puo fare di maligno sta cosa una volta installato?

Infine, nel sottotitolo della news si dice che ottiene i permessi di amministratore... si certo... perchè è l'utente che glieli da, non se li prende da solo di nascosto... mah...

[Sajiuuk Kaar]

Quote:

Un virus che non si autopropaga che virus è?

Senza il klez il chernobyl non si sarebbe propagato...
Eppure i suoi danni li faceva... PORCA TROIA SE LI FACEVA... Povero il mio P3500... :'(

[custom11]

il grande cambiamento è iniziato non resta che starsene a guardare,ormai nulla sarà piu come prima, così come su un palcoscenico assisteremo a una svolta nel campo informatico molto importante, singolare poi che un utente mac si vada a scaricare una copia piratata di iwork ??!? ancora ci penso e non capisco .... mah non ha il minimo senso

[urelio2]

be potete dire ciò che volete... ma resta il fatto che il virus è stato preso perchè si utilizzava software illegale... e cmq non si può fare il paragone con windows, è inutile visto che l'antivirus mi rilevava minimo un virus al gg... e cmq se non fosse per il fatto che viene visto come una parte troppo piccola di mercato, e quindi non viene considerato, linux, nelle sue varie distribuzioni, io uso ubuntu, è un grande sistema operativo... mancano solo un po di programmi, visto che nessuno si prende la briga di svilupparli..

[DjLode]

Quote:

Originariamente inviato da zephyr83

scusate ma si da la colpa agli utonti (dire iTonti ) perché scaricano un programma pirata e nn fanno caso che devono inserire la password due volte.....ma allora lo stesso vale anche per windows! se solo microsoft impostasse di default la crezione di un utente NON amministratore tutti i vari malware praticamente dipenderebbero solo dalla "poca attenzione" dell'utente. a sto punto il livello sicurezza di windows e di osx mi sembra sullo stesso livello. anzi mi sa che ci sn più exploit da scoprire su osx che su vista.

Diciamo che per compiere certe operazioni su Vista devi autorizzarle (non so come si chiama il processo non me lo ricordo), come avviene più o meno su MacOs. E infatti a quanto mi sembra su Vista la sicurezza è aumentata abbastanza. Ovvio che se uno me lo disabilita, non può poi dare la colpa a Vista ma deve guardarsi in casa e basta
Diciamocelo, su Xp io ho sempre avuto un AV (anche ora che ho una macchina virtuale, mi serve per lavorare e voglio essere relativamente tranquillo), usando Firefox e Thunderbird e non andandosi a scaricare warez o programmi crackati e da dubbie fonti, il rischio di "contagio" è sempre stato molto basso.
Di fatto basta tenere un pc aggiornato con le ultime patch e prestare attenzione a cosa si installa/scarica. E questo vale per qualunque cosa ci stia installata sopra il pc.

[sampei.nihira]

Perchè nessun utente MAC ha provato a reperire il malware in questione e fatto in modo coscienzioso un'installazione consapevole ?

Inserendo in questo forum, nel sotto forum specifico per l'Apple, i vari passaggi magari con qualche screen ?

Perdonate se mi ripeto, (L'ho scritto nel 3D in argomento dedicato nel sotto forum specifico) ,ma proprio non riesco a comprendere questo comportamento.

L'interesse del fatto è alto e lo dimostrano le letture del 3D sopra detto ma.............

Quindi,concludendo,evidenziando l'installazione e la successiva rimozione.

Noi utenti Windows della sezione "Antivirus e Sicurezza" facciamo spesso,in sicurezza, questi test.

E' un ottimo metodo non solo per insegnare/imparare a prendere coscienza delle sempre più nuove minacce, ma anche per mettere alla prova il nostro sistema di configurazione difensiva.

[macfanboy]

Quote:

Originariamente inviato da DjLode

Diciamo che per compiere certe operazioni su Vista devi autorizzarle (non so come si chiama il processo non me lo ricordo), come avviene più o meno su MacOs. E infatti a quanto mi sembra su Vista la sicurezza è aumentata abbastanza. Ovvio che se uno me lo disabilita, non può poi dare la colpa a Vista ma deve guardarsi in casa e basta

Anche qui ti chiede la PW di amministratore.

Il pericolo di questo Trojan è che la chiede in un momento che sembra "lecito", cioè l'installazione di iWork. Non tutti i programmi, anzi molto pochi in realtà, richiedo l'inserimento di pw per l'installazione, ma qualcuno lo fà. Forse iWork è fra questi (non ricordo), ma è plausibile che lo faccia.
E quindi anche persone non del tutto tontolone possono cascarci.

Su OS-X, tra l'altro, non si possono disabilitare come su Vista questi avvertimenti di sicurezza, e non basta un semplice "Allow", ma ci devi proprio scrivere la PW. Quindi la protezione dell'OS è presente, ma contro del social-engineering ben fatto non c'è OS che tenga.

Insomma ora bisogna stare un po' più attenti quando un installer di un software arrivato "per vie traverse" ci chiede la PW, e pensarci 2 volte prima di scriverla...

Fino a ieri i meccanismi di sicurezza dell'OS erano correttamente implementati, ma in realtà erano inutili perchè non erano presenti reali minacce "in the wild".