[ IcyImpact @ 17.02.2006. 20:05 ] @
Pojavio se crv za MacOS X imena Leap-A (znan i kao Oompa-A) koji se širi putem iChat IM sustava, prosljeđujući se na kontakte u obliku datoteke imena latestpics.tgz. Kada se otvori, datoteka prikriva svoju pravu prirodu predstavljajući se kao JPEG ikona. Drugi naziv crva - Oompa-A, dolazi od ključne riječi "oompa" koju crv koristi za označavanje inficiranih datoteka kako ih ne bi više puta inficirao.

Ova vijest je izazvala priličan šok među Mac korisnicima koji su do sad vjerovali da se tako nešto ne može dogoditi. Od sada se preporučuje povećan oprez - redovito ažuriranje antivirusnih programa i pažnja kod otvaranja sumnjivih datoteka.

F-Secure je danas također prijavio novi Bluetooth crv imena OSX/Ingtana.A koji može pogoditi MacOS X - no oni ga ne smatraju prijetnjom.

Detaljnije:

http://www.scmagazine.com/us/news/article/541726/
[ hulja @ 17.02.2006. 22:14 ] @
zbog jednog crva mi ne pada na pamet da stavljam antivirus app.
pa kod mene nije izazvalo sok sobzirom da svaka platforma ima takve propuste samo smo imali do sada srece.
lepa je ideja i os x jos uvek nema virus ali ako si stvarno do jjuce mislio da nema sanse ni crv nikada da se pojavi onda...
[ Darko Selakovic @ 17.02.2006. 22:46 ] @
Ovde smo bacili par dobrih linkova:
http://www.macserbia.org/index...c=view&id=1331&catid=7
[ madamov @ 18.02.2006. 10:12 ] @
Citat:
Ova vijest je izazvala priličan šok među Mac korisnicima koji su do sad vjerovali da se tako nešto ne može dogoditi.

Toliko sam šokiran da mi se tresu ruke dok ovo kucam. B)

Sad ćemo ooept mesec dana da razglabamo o tome kako je Mac OS X konačno ranjiv i slično.

A reč je o Trojancu kojeg:

- moraš da raspakuješ iz .tgz arhive
- ponovo dvoklikneš na JPG koji se pretvara da jeste
- eventualno ukucaš administratorski password

Virus? Nema šanse. Pri tome, ovaj "virus" ima bag u kodu tako da ne može da napravi nikakvu štetu sve i da si dovoljno glup prvo da ga primiš kroz iChat, a onda da DVA PUTA pokreneš fajl.
[ IcyImpact @ 18.02.2006. 10:12 ] @
Ovo sad se može nazvati ispitivanje terena. Ništa preozbiljno.
Citat:
zbog jednog crva mi ne pada na pamet da stavljam antivirus app.

Ma naravno.
Citat:
pa kod mene nije izazvalo sok sobzirom da svaka platforma ima takve propuste samo smo imali do sada srece.

Nije stvar sreće - niste bili zanimljivi.
Citat:
lepa je ideja i os x jos uvek nema virus ali ako si stvarno do jjuce mislio da nema sanse ni crv nikada da se pojavi onda...

Nisi valjda mislio da je OS X savršen? Njegovo nesavršenstvo će se očitovati sve više.
[ IcyImpact @ 18.02.2006. 10:20 ] @
Citat:
Toliko sam šokiran da mi se tresu ruke dok ovo kucam. B)

Jel? Ti vjerojatno nisi, većina ostale mase je.
Citat:
Sad ćemo ooept mesec dana da razglabamo o tome kako je Mac OS X konačno ranjiv i slično.

Vječni rat ne prestaje - niti hoće.
[ exsold @ 18.02.2006. 10:22 ] @
Citat:
IcyImpact: Ovo sad se može nazvati ispitivanje terena. Ništa preozbiljno.

Nisi valjda mislio da je OS X savršen? Njegovo nesavršenstvo će se očitovati sve više.




Moze on da bude nesavršen koliko hoćeš, njegovo nesavršenstvo je toliko savršeno u odnosu na nesavršenstvo windowsa, da je to sasvim dovoljno.


Ko razume shvatiće
[ IcyImpact @ 18.02.2006. 10:28 ] @
Razumijem ja tebe.
[ madamov @ 18.02.2006. 10:31 ] @
Citat:
Jel? Ti vjerojatno nisi, većina ostale mase je.

Imaš neki link kao dokaz ili je to samo tvoje mišljenje?
Citat:
Vječni rat ne prestaje - niti hoće.

Ako si samo zbog toga ostavio ovu vest, ova tema će vrlo brzo biti zaključana. Sve mi liči na to, ali da ne prenagljujem.
[ madamov @ 18.02.2006. 10:33 ] @
Citat:
Moze on da bude nesavršen koliko hoćeš, njegovo nesavršenstvo je toliko savršeno u odnosu na nesavršenstvo windowsa, da je to sasvim dovoljno.

Molim ostale da se ne primaju na trolove. Znači rasprava o "virusu", potencijalnim novim virusima, zašto ih do sada nije bilo, da li će ih biti, sve to može, ali ovo ne može.
[ IcyImpact @ 18.02.2006. 10:54 ] @
Citat:
Imaš neki link kao dokaz ili je to samo tvoje mišljenje?


Moje mišljenje.

Citat:
Citat:
Vječni rat ne prestaje - niti hoće.
Ako si samo zbog toga ostavio ovu vest, ova tema će vrlo brzo biti zaključana. Sve mi liči na to, ali da ne prenagljujem.


Naravno da nisam zbog toga stavio ovu vijest. Također mi nije bila namjera pokrenuti rat između korisnika windowsa i OS X-a nego dati informacije posjetiteljima ovog foruma. Rekoh da međusobna prepucavanja između ta dva tabora neće prestati - ne može se raspravljati o ovoj tematici, a da ne počne usporedba sa windowsom.
[ madamov @ 18.02.2006. 11:04 ] @
Citat:
Također mi nije bila namjera pokrenuti rat između korisnika windowsa i OS X-a nego dati informacije posjetiteljima ovog foruma.

Primljeno k znanju. Za informaciju hvala, ali su je posetitelji ovog foruma već imali prilike pročitati na raznim drugim sajtovima, kao i informaciju kako se i da li se ovaj "virus" širi (ne širi se, ima bag u svom kodu).
[ henrik @ 18.02.2006. 11:57 ] @
Citat:
IcyImpact: Rekoh da međusobna prepucavanja između ta dva tabora neće prestati - ne može se raspravljati o ovoj tematici, a da ne počne usporedba sa windowsom.


Budale će se uvek prepucavati, koristile Win, Mac, Linux ili revolver strug.

Usput, da ne otvaram novu temu zbog ovog - ima li neko neki info šta se dešava sa Jabučnjakom? Već mesec dana im je nemoguće pristupiti. Pretpostavljam da se sele na neki drugi server?

[Ovu poruku je menjao henrik dana 18.02.2006. u 13:03 GMT+1]
[ hulja @ 18.02.2006. 12:05 ] @
evo macworld je resio da izvrsi totalnu analizu incidenta sa sve debugovanjem i rezultat je vrlo interesantan.namerno su i zarazili makine da vide efekat ali necu da upropastim iznenadjenje pogledati obavezno http://www.macworld.com/news/2006/02/17/leapafollow/index.php mada je stvar u sustini glupost and i'm sticking to my story!
[ madamov @ 18.02.2006. 12:18 ] @
Citat:
pogledati obavezno http://www.macworld.com/news/2006/02/17/leapafollow/index.php mada je stvar u sustini glupost

Držati ovaj link u pripravnosti u slučaju da neko krene da vas guši kako je ovo virus. B) Nije gupost ako je napravljena da pokaže kako nešto ipak može da se uradi, ali ako je namera bila da se stvarno napravi nešto što će napraviti štetu, onda je definitivno glupost.
[ madamov @ 18.02.2006. 12:22 ] @
Citat:
da ne otvaram novu temu zbog ovog - ima li neko neki info šta se dešava sa Jabučnjakom?

Stvarno, zna li neko? Ne stižem da ih posećujem često kao ranije, ali videh da poslednja dva puta nisu bili dostupni.
[ hulja @ 18.02.2006. 12:31 ] @
ne mislio sam u smislu glupost da ova stvar koja sada postoji nije maliciozna odnosno opasna.
koncept je druga stvar ali panika itd zbog ovog fajla ne poostoji.
[ milke @ 18.02.2006. 16:08 ] @
Just my two (euro)cents:

Virusa i trojanaca za Mac OS X do sada nije bilo više (upošte) prvenstveno zbog neraširenosti platforme, što reče već neko "nismo bili zanimljiviji". Zaista nisam stručnjak za internu strukturu Mac OS X-a, i UNIX-a, a tek ne Winsows-a, pa ne znam koliko je teže inficirati UNIX-based mašinu od Win-a, ali ma koliko da je teže, to neće da spreči dokone da to i urade, naročito ako će to pogoditi znatan broj korisnika (ako je neko pakostan), ili ako će mnogo ljudi morati da iskešira antivirus program (ako je neko u kompaniji koja pravi iste).

Interesantno je da ovaj trojanac uopšte ne koristi UNIX specifičnosti da se raširi, već osobenosti HFS+ fajl sistema. Zanimljivo je kako je izvedano "inficiranje" applikacije, trojanac dobija pristup pokrenutoj applikaciji preko "Input Manager" mehanizma, pa kada u tome uspe kopira app executable u sopstveni resource fork executable-a, a sebe u data fork executable-a, pa kada neko pokrene aplikaciju, pokrene se u stvari trojanac, koji pokuša da inficira još par aplikacija (gleda u Spotlight listi četiri najkorišćenije) a zatim pokrene binary u resource fork-u, što je u stvari originalan app executable, kako bi korisnik mislio da je sve u redu, pokrenula se aplikacija, jel' te. Tu postoji bag, koji ne pokrene originalni executable iz (sada) resource forka, pa je vidljivo da nešto nije u redu. Neki misle da je ovo urađeno namerno, kao autor nije hteo da uradi ništa loše, ali ja ne mislim tako, zašto bi se mučio onda. Takođe, bag se manifestuje kada se želi korisniku prikazati da je sve u redu (pokrene se zaražena app), a ne ranije kada se ista inficira i pokuša inficiranje ostalih. I podmetanje jpeg ikone koju Finder prikazuje je takođe urađeno smaštanjem iste u resource fork trojanca. Možda bi Apple trabao da nađe načina da upozori korisnika da je ipak u pitanju executable, a ne ono što ikona pokazuje. Takođe, efikasnost mu je ograničena, može da zarazi samo aplikacije "instalirane" čistim drag&drop mehanizmom, dakle samo one za koje korisnik ima pravo pisanja.

Ako se zastupljenost Mac OS X-a značajno poveća, što najavljuju mnogi "analitičari", ali je pitanje koliko je njima za verovati, lično očekujem sve više napada na Mac OS X.

Update: evo linka, na kome se nudi do sada najbolje obješnjenje šta i kako ova trojanac, ili šta li je već, radi:

http://www.ambrosiasw.com/forums/index.php?showtopic=102379

[Ovu poruku je menjao milke dana 18.02.2006. u 17:11 GMT+1]
[ Darko Selakovic @ 18.02.2006. 18:51 ] @
Citat:
madamov: Stvarno, zna li neko? Ne stižem da ih posećujem često kao ranije, ali videh da poslednja dva puta nisu bili dostupni.


Sele domen... dok ne prorade na www.jabucnjak.hr dostupni su na www.jabucnjak.info/

p.s. zar je toliko teško otkucati na Google-u: jabučnjak?
[ madamov @ 18.02.2006. 19:07 ] @
Citat:
p.s. zar je toliko teško otkucati na Google-u: jabučnjak?

Nije, ali prošli put kada sam probao sa www.jabucnjak.info isto nije radilo, ali vidim da sada radi. Inače, ovaj info domen je stari, samo preko njega je nekada bio dostupan Jabučnjak jer im je neki lik koji ih ne voli uleteo ranije i rezervisao www.jabucnjak.hr, pa su se sa njim preganjali mesecima.

Update: inače sam trenutno jedini ulogovan na Jabučnjak, izgleda da mnogi ne znaju za ovaj stari domen.

Update 2: Čitam tamo, nije ni čudo što ih nije bilo na obe adrese, cele nedelje oko 4. februara nije ni bilo servera na mreži, a ja sam tada poslednji put i probao da se nakačim.

[Ovu poruku je menjao madamov dana 18.02.2006. u 20:16 GMT+1]
[ Toni @ 19.02.2006. 08:33 ] @
u attachmentu ove poruke ima app koji zatvara vrata ovom trojancu.

sto se tice virusa ludilo super ali macos virusi ce da budu opasni kada bude bilo puno apple racunara :)

[Ovu poruku je menjao Toni dana 19.02.2006. u 09:35 GMT+1]
[ IcyImpact @ 21.02.2006. 19:42 ] @
Tuesday, February 21, 2006 - Posted by Jarno @ 11:12 GMT
More OS X malware

Today we received two more samples of Mac OS X malware.

OSX/Inqtana.B and OSX/Inqtana.C are close variants to original OSX/Inqtana.A. About the only difference between variants is the technique by which the worm will start on the infected machine after user has accepted OBEX file transfers.

The startup routines on Inqtana.B and Inqtana.C will most likely work also on OS X 10.3.

Like Inqtana.A the .B and .C are locked to certain bluetooth addresses and are time limited to 24. February 2006, so they will not be able to replicate on any real environment and will work only in specially crafted lab. However it is possible that some virus author will create similar worms that are not intentionally limited, so please make sure that your OS X is up to date.

http://www.f-secure.com/weblog/archives/archive-022006.html
[ madamov @ 21.02.2006. 20:05 ] @
Rupe koje ovi virusi koriste su otkrivene još u junu 2005 i ispravljene u svim updatetima Panthera i Tigera od tada.

http://docs.info.apple.com/article.html?artnum=301742
http://docs.info.apple.com/article.html?artnum=301528
[ SIT @ 24.02.2006. 11:10 ] @
Tresla se gora, rodio se miš
[ Darko Selakovic @ 24.02.2006. 12:11 ] @
Ipak ima nekih "nedoslendosti"...
http://homepage.mac.com/darkoshop/.Public/Slika.zip
[ madamov @ 24.02.2006. 14:43 ] @
Citat:
Ipak ima nekih "nedoslendosti"...

Kakvih? Upravo je onako kako su opisali da radi. Ubuduće ipak stavi neku warning u poruku kada ostavljaš ovako nešto, neko će da se iznenadi. B)
[ SIT @ 24.02.2006. 18:00 ] @
nije mi jasno u čemu je problem?
skinuo sam fajl koji se zove slika.zip
kada ga raspakujem dobijem terminal.app dokument koji se zove slika.jpg
koji moram da kliknem da bi napravio štetu

pa to ti je kao da ti napravim program
(applescript npr do shell script "ls -la" administrator privileges "true")
i dam mu ikonicu kao gif image

sličnu stvar su napravili i u pdf-u
dugme "nemoj nikako da klikneš ovde"

i sta se desi.... 99% ljudi klikne na dugme .... i ostane bez hard diska
takvu stvar teško možes da sprečiš

a da ne kažem na primer program koji se zove na primer adobe cs 2 keygen :)

klikneš i ....!
[ milke @ 24.02.2006. 22:39 ] @
Citat:
madamov: Kakvih? Upravo je onako kako su opisali da radi. Ubuduće ipak stavi neku warning u poruku kada ostavljaš ovako nešto, neko će da se iznenadi. B)
Ako ne žurite, nego prvo odete na preview u Finder-u, nikakve slike nema, a za kind jasno piše "Terminal Document". Da ne pričam o "Get Info..."
[ madamov @ 25.02.2006. 15:48 ] @
Za "kind" u redu, ali neke slike ne prikazuju preview iako su stvarno slike. Get Info je druga priča.
[ IcyImpact @ 25.02.2006. 19:17 ] @
Triple threat to Mac OS X largely academic

At first blush, the past two weeks have not been good for the image of Apple's Mac OS X: Public descriptions of two worms and a trivial exploit for a serious software issue in the operating system appeared on the Internet.

However, the three programs are hardly a threat to systems running Mac OS X, according to security professionals.

One worm, known as OSX.Leap.A and assigned CME-4 by the Common Malware Enumeration Project, requires too much user interaction, hobbling its attempts to spread. A second worm, dubbed InqTana, and its two variants are actually proof-of-concept programs that were not discovered on the Internet but were instead sent to antivirus vendors and Apple by a researcher to prove that worms can spread through Bluetooth. And while the release of code for a vulnerability that could be exploited through Safari and Mail is a bit more serious, no incidents of Web sites exploiting the flaw have yet been reported.

"I don't think what we've seen is serious at all from the end-user perspective," said Mikael Albrecht, product manager with antivirus firm F-Secure. He added that the issues that the programs use to attempt to spread could result in more serious attacks, however. "From the security perspective, the vulnerabilities are quite severe."

The largely ineffectual attacks add fuel to the fiery debate over the security of Apple's operating system. Many Mac users believe they are better protected than the average Windows user against malicious attacks. Most security professionals argue that, as flaw finders scrutinize the increasingly popular operating system, more vulnerabilities will be found, and Mac users will have to deal with many of the threats that worry Windows users.

In the latest security issue for Mac OS X, a vulnerability in how the operating system uses meta data to associate file types with programs could be exploited to allow a Mac to be compromised through Web browsing or via an e-mail message, according to flaw finder Michael Lehn, a graduate student and researcher in the University of Ulm's Department of Numerical Analysis. The researcher recently discovered the vulnerability and reported it to Apple.

Because of the severity of the flaw, and the possibility that someone else had found it--Apple lists the flaw as a duplicate in its bug database--Lehn opted to release details of the vulnerability and proof-of-concept code, a move he said helps Mac users. However, the move violates generally accepted responsible disclosure guidelines.

"Because of the first worm, too many people were suddenly starting to think about and investigate the possibility of writing a Mac OS X worm," Lehn said. "Publishing the exploit as fast as possible is the best for all Apple users. I think at the end of the week, every Apple user will know about it."

Without advanced notification, Apple is currently scrambling to release a patch for the issue, which has not yet been encountered by users on the Internet.

"Apple takes security very seriously," an Apple spokesperson told SecurityFocus. "We're working on a fix so that this doesn't become something that could affect customers."

The company added that Mac users should only accept files from the software developers and Web sites that they know and trust.

The InqTana worm, created by security researcher Kevin Finisterre of Digital Munitions, held to responsible disclosure but runs counter to many antivirus vendors' assertions that creating viruses and worms is not an acceptable security practice. Finisterre created the InqTana worm, and two variants, to show that a worm could spread through Macs. Each variant uses a different method to copy itself onto a computer running Mac OS X.

However, Finisterre designed the worms not to spread in general. The programs made use of a vulnerability found and reported by Finisterre and fixed by Apple last June. The researcher also hobbled the worm by requiring that a user agree to allow the program to spread to their computer, and placed a time limit on how long it could spread. Moreover, he only sent the program to security contacts at Apple, major antivirus companies and a single independent security group.

"I have heard of so many folks touting that misconception that Macs can't get viruses that I thought it was about time to start a dialog with some of the AV companies and express some of my ideas," Finisterre said. "In the process of confirming my own concerns, this code was created. I am not one for talking about things in concept form--I like to actually implement and prove a concept."

While InqTana is not a danger, Finisterre stressed that Mac users need to wake up to the fact that successful worms and viruses will attempt to attack the Mac OS X in the future. The poorly programmed OSX.Leap.A also shows that malicious coders are focusing on the platform, he said.

"The idea that Macs can't get viruses is simply absurd and I wanted to highlight that fact," Finisterre said. "It was pure coincidence that Leap.A had already set out to prove that the old wives' tale is false."

F-Secure's Albrecht stressed that worms are not a good way to demonstrate vulnerabilities, but that the two programs, despite their lack of success, do show that viruses and worms are a threat for the platform.

"I would never want to say releasing a virus is a good idea, but the worms for the Mac OS X are a wake up call for the community and that is a good thing," Albrecht said. (Symantec, a rival to F-Secure in the antivirus industry, is the owner of SecurityFocus.)

The two worms and the exploit could also give would-be malicious coders encouragement in their attempts to create programs for the Mac OS X platform, said Peter Allor, director of intelligence for Internet Security Systems.

"It's like going through the sound barrier," Allor said. "People think you can't go through the sound barrier and then someone does it and suddenly people know it's possible. It doesn't mean that people are going through the sound barrier every day, but they know they can."

While many Mac users are cognizant of security risks, others--oft-times referred to as the "Mac Faithful"--take umbrage at what security professionals regard as common-sense security precautions, said Jay Beale, senior security consultant with Intelguardians and leader of the Bastille Linux Project.

Mac users should take the convergence of the three threats as a signal to inspect their defenses against online attacks, he said.

"We Mac users have been living in this great world where we are more vulnerable than other Unixes, but we weren't seeing any attacks because we weren't targeted," Beale said. "I think we are going to see a lot more of this in the next year."

In addition, Apple needs to shake off its secretive approach to security and communicate better with the community and security researchers, said Finisterre. The researcher said that his attempts to communicate with the security response team at Apple has been mixed.

"Macs will continue to attract attention, and by doing so, we are going to see a lot of creative attacks come out," Finisterre said. "The ultimate outcome is in Apple's hands--how they respond both proactively and reactively will make all the difference."

http://www.securityfocus.com/news/11378/1
[ madamov @ 25.02.2006. 19:48 ] @
Lele, zar link sa par citata nije bio dovoljan?
[ SIT @ 25.02.2006. 22:24 ] @
Prešlo granicu dobrog ukusa
[ hulja @ 26.02.2006. 08:59 ] @
slazem se za ukus a mozda je i vreme da se tema zatvori posto je krenulo recikliranje.
[ IcyImpact @ 26.02.2006. 09:51 ] @
Citat:
Lele, zar link sa par citata nije bio dovoljan?


Možda i je.
[ madamov @ 27.02.2006. 13:27 ] @
Safe Terminal - http://www.versiontracker.com/dyn/moreinfo/macosx/29221

Demask - http://www.versiontracker.com/dyn/moreinfo/macosx/29235
[ henrik @ 27.02.2006. 14:34 ] @
Najebali smo.

Odo da prodam mašinu i da kupim Spektrum ili tako nešto bezbedno, pre nego što mi neko sprži hard.
[ hulja @ 27.02.2006. 21:08 ] @
temu zakljucati.
problem privremeno resen.
[ madamov @ 02.03.2006. 09:05 ] @
Citat:
problem privremeno resen.

Problem definitivno rešen:

http://www.apple.com/support/d...pdate2006001macosx1045ppc.html za PPC mašine sa 10.4.5

http://www.apple.com/support/d...6001macosx1045clientintel.html za Intel mašine sa 10.4.5

http://www.apple.com/support/d...tyupdate20060011039client.html

i

http://www.apple.com/support/d...tyupdate20060011039server.html

za mašine koje su još na 10.3.9.