OS X; nu börjar virusen rulla in....

Detta är både intressant och mycket viktigt!
Vet du vad som hände, vad var det för typ av virus, vad var det skrivet i, har du rapporterat till något antivirus företag, har du hört om någon annan som fått viruset...
Frågor, frågor, frågor...

Clavius, vilket antivirusprogram använder du?

Jag läste en kommentar (på Apple Insider tror jag) som gick ut på att nu när Apple skapar en global adressbok i och med Jaguar så är det upplagt för virus. Det är ju just motsvarigheten till denna adressbok som redan exixsterar i windows och som flitigt utnyttjas av vartenda virus nuförtiden. Så jag hopppas verkligen Apple tänkt till både en och tre gånger så att vi inte får samma problem på macen.

Ja, detta var intressant ...

Jag har ganska länge "väntat" på ett virus i Macvärlden (Mac OS 9) baserat på t.ex. AppleScript. Med tanke på att Finder och en hel hög andra tillämpningar kan skriptas med AS borde det vara enkelt.

Likaså har jag "väntat" på ett virus i Mac OS X med tanke på vilka möjligheter det finns att skripta där (shellskript, AS med mera).

Vill gärna veta mer ...

//Mikael

Skicka filen till Symantec...

Hmm.. Hade den filändelsen .ai ?
Låter så konstigt att en sån fil skulle på något sätt via Illustrator eller på ett annat sätt smitta ner din mailbox?

Du skrev att det var en logga, var det en EPS? Kan det ligga virus i själva postscriptkoden?

Om så är fallet borde det följa med om man gör om det till en PDF? Låter INTE bra alls.... Vad händer i rippen? Mer info plz!!

MVH mattias

Vad skickade din "välkända" kontakt filen med för program?
Var den "packad" av hans mailprogram?

Låter nästan för bra för o va sant att man kan få virus via .ai filer..

För bra vet jag inte, men jag håller med om att det låter mycket märkligt.
Wordfiler kan ju innehålla macrovirus, men Illustrator har väl inga sådana?
Skumt, ska man behöva vara rädd för alla filer, eller?

Kan inte mailet ha innehållit något osynligt script av något slag, som öppnades när mailet lästes?

[ 16 Maj 2002, 12:17: Meddelandet ändrat av: stfm ]

Inte för att jag är ngn expert, men är det inte så att ett virus måste skrivas i s.k. "exekverbar" (körbar) form, såsom ett program, ett skript, eller som i word/excel-fall ett macroskript. En pdf-fil, eller eps-fil exekveras ju inte. Ok, man skulle i princip kunna döpa om ett virus (s.a.s. maskera) till något med filändelsen ".pdf", men vad skulle hända då? OS X skulle förmodligen försöka öppna filen med preview, men den skulle inte hitta någon giltig pdf-kod, så den skulle antagligen bara ge ett felmeddelende.

mina 2 cents....

Dennis

PostScript kan mkt väl innehålla virus eftersom det är ett scriptspråk.. Jag har sett en (tror det var dict.org) server skriven i ps PDF däremot kan inte innehålla virus på samma sätt.

Du har en poäng där, och för 6, 7, 8 år sedan cirkulerade PS-filer som kunde göra Apple LaserWriters obrukbara (och där det krävdes någon form av service [inte bara omstart] för att de skulle fungera igen). Den tekniken kan ju ha återupptäckts.

Men, kan en PS-tolk verkligen åstadkomma detta? Har PS-tolken verkligen rätt/möjlighet att styra andra program?

Förresten, cirkulerade det inte ett PDF-virus (eller snarare "skript-inbäddat-i-en-PDF-fil-virus") för ett halvår sedan bara? Verkade bara på Acrobat, inte Acrobat Reader.

//Mikael

Fast eftersom Mac OS X är UNIX baserat så kan det (precis som i andra UNIX system) inte bli förödande skador.

Virusen (eller oftast skripten) kommer bara åt dina egna filer. Okej, det är inte kul att förlora personliga bilder, dokument e.t.c. men dem tar du ju ändå backup på? Eller? Systemet kommer aldrig förstöras i vilket fall.

Till skillnad från ett annat operativsytem *ahem, host*

Ciryon

Det beror ju lite på vad man menar med förödande skador. Jag tycker inte skadade/raderade/försvunna personliga filer är särskilt farligt. Det är betydligt värre med intrång som kan skada nätstrukturerna.

Sedan är det ju inte så länge sedan man enkelt kunde få rooträttigheter i MacOSX utan att tillhöra sudoers eller någon annan känslig grupp. Det finns ALLTID svagheter i systemet.

Vad gäller UNIX(-variants-)virus är det bara ett år sedan Lion, Adore och Ramen härjade på Linuxsidan. Samtidigt grejade BoxPoison och Sadmind på Solaris-/SunOS-sidan.

Att MacOSX numera bygger på en UNIX-grund innebär oändligt många fler hot (eller möjligheter sett ur ett hackerperspektiv) än tidigare — speciellt som normalanvändaren inte förväntas ha en aning om vad som händer i just UNIX-delen av operativet.

//Mikael

Tror du skulle kunna skicka den filen till mig stuffad? Så kan jag dissikera den?

Det här vet jag inget om, men jag gissar at C. inte har installerat just den filen på sitt nya system... har jag fel?

Nope kanske inte, men den borde finnas hos hans kompis eller hos någon. Skulle ALDRIG slänga bort en misstänkt virus som utger sig för att vara ett illustrator dokument utan analysera den, eller att skicka den till t.e.x Per Hellqvist

Ciryon skrev:

Synd. (Det låter ju som en himla fin feature att "bara" egna filer förstörs och inte systemet)
"Egna filer" är det enda jag bryr mig om i min dator. Men, men - olika människor värderar olika saker...

Skönt att du hade back up på allt, Clavius!
Minns med fasa när min iMacs (rev A) hd (4 gb) kraschade... Det skulle gå att återfå alla filer via ett företag i Uppsala, till en uppskattad kostnad av 15-18 000... Jag gjorde det aldrig, men hade inte tvekat en sekund om bara pengarna fanns... (de jag hade skulle ju gå till en PowerBook!).
2 år senare försöker jag mig fortfarande på att återskapa de ganska komplexa midi-kompositioner som gick förlorade - Back up är viktigt!!!

Lite synd. Med tanke på att det eventuellt kan drabba andra...

Well..

Hur kan ni vara säkra på att det verkligen var en Illustrator-fil om ingen hade lyckats öppna den? Tycker det låter misstänkt likt en mask som fortplantar sig vidare genom att bifoga sig själva och slumpa med sig en ändelse. Att mail.app också varnade för att filen kunde vara osäker stärker den misstanken. Den varnar just för sådana bilagor som kan innehålla exekverbar kod som tex. makron i Office. Att filen kom från en klient med Outlook Express gör att misstankarna borde ledas än mer åt det hållet. Att mail.app skulle kunna varna för något i en postscriptfil tror jag inte på.

I övrigt är det ju faktiskt så att även mail.app kan exekvera kod (kan ju köra html). Man behöver inte vänta till Jaguar för att få problem med detta. ALLA epostprogram som kan exekvera kod är potentiella risker...

Den som kom på att man skulle köra kod i eposten borde ha ett kok stryk. det är ett klassiskt exempel på när glättiga funktioner (i detta fallet designade e-postmeddelanden) går ut över säkerheten i systemet

[ 16 Maj 2002, 22:55: Meddelandet ändrat av: Harry Våffla ]

Det du nämner är inte virus utan maskar. Program skrivna för att utnyttja säkerhetshål. Dessa maskar löper väldigt liten risk att drabba annat än servrar. Och även då krävs det att server administratören har varit oansvarig och inte täppt till de hål som finns. För det mesta brukar UNIX admins vara duktiga på detta. Därför blev det heller ingen "härjning" av dessa maskar. Jämför t.ex. med Code Red masken som drabbade (och fortfarande drabbar) Microsoft IIS servrar. Jag hade tusentals "attacker" från infekterade IIS´servrar varje dag när det var som värst.

Det där håller jag inte med om. Kör du många tjänster i Mac OS X så finns det risk att någon av dem kan ha ett säkerhetshål som en hacker eller en mask kan utnyttja. Annars är Mac OS X absolut säkrare än föregående Mac OS.

Ciryon

Rent allmänt är det nog så, men vad många menar är att det nu finns ett antal operativsystem som bygger på samma grund, UNIX, vilket innebär att det blir alltmer intressant för "buset" att börja ta fram tex. skadlig kod som söker och slår mot kända sårbarheter i tex. Linux, Solaris och OS X. Risken att någon försöker är alltså större mot OS X. Sannolikheten att dom lyckas....återstår väl att se, eller hur??

Gamla OS 9 var ju så perifert att det helt enkelt inte var intressant att ge sig på.

Ändock är det ju rätt att OS X är det säkraste operativet Apple levererat.

Jag håller med dig ...

Det hela blev kanske lite av "Technology Overview" över diskussion — om det mer än teoretiskt möjligt skulle kunna vara en PS-fil.

//Mikael

Virus, maskar eller trojaner, visst är det skillnad på dem, och du har rätt i ditt påpekande. Men principiellt innebär virus och maskar samma problem, och jag använde nog virus mer som sammanfattande benämning.

Mac OS X är ju faktiskt en server — även i klientversionen. Visst, avskalad och i många avseende avstängd, men ändå en server.

UNIX-admins är duktiga normalt sett eftersom de är just UNIX-admins med tämligen lång erfarenhet. Jag är helt övertygad att de som administrerar MacOSX-servrar klarar det, men jag är inte lika säker på att användare med MacOSX-klienter klarar det lika bra. Inte minst visar aktiviteten på det här forumet på detta.

Att det inte blev någon fullständig härjning beror bland annat på de rutiner admin har — UNIX-adminar är tämligen vana att uppgradera sina system.

När det gäller attacker från IIS så tror jag att den absoluta merparten av dessa kommer från just maskiner av typen "jag-har-en-server-så-jag låter-den-serva" och inte strikt kontrollerade servrar i någon form av produktion. (När jag studerar error-loggar är det i alla fall så.)

Den risken förligger också om du har få portar öppna.

Jag ser heller inte problemet som särskilt stort rent personligt om man får intrång — på något sätt får man ändå "skylla-sig-själv". Problemet är snarare att om man får intrång är det inte långt till intrång på andra maskiner i nätet alternativt störningar i nätet.

Det är ju en sanning med modifikation. Eftersom Mac OS 9 inte var ett fleranvändarsystem var det verkligen bergsäkert. Sedan förelåg ju naturligtvis andra nackdelar.

//Mikael

Kan det vara så att filen hade en annan filändelse efter som var gömd? Detta är har jag sett i windows några gånger, tex dokument.doc.exe, och eftersom operativet automatiskt gömmer den sista filändelsen ser det ut som ett word dok.
Vet inte om detta kan ske i X?