Ny Flashback-trojaner oppdaget

Ny Flashback-trojaner oppdaget

Utnytter sårbarheter i eldre Java-versjoner.

Sikkerhetsselskapet Intego melder at flere varianter av Mac-trojaneren Flashback er oppdaget.

Ifølge selskapet har mange Mac-brukere blitt infisert av den ondsinnede programvaren, særlig den nyeste varianten, Flashback.G. De fleste kjører OS X 10.6 Snow Leopard.

Fra Flash til Java

Den nye Flashback-trojaneren utnytter sårbarheter i Java for å installere seg selv på en Mac. Tidligere varianter har spredd seg viaAdobe Flash Player.

Dersom maskinen er oppdatert eller Java ikke er installert (noe som er tilfelle ved ferske installasjoner av OS X 10.7 Lion), vil brukere få opp en dialogboks hvor de blir spurt om å verifisere et digitalt sertifikat som hevdes å være fra Apple.

Når den er installert på maskinen prøver Flashback.G å fange opp brukernavn og passord som du taster inn i mange populære nettsteder, som Google og PayPal, slik at de nettkriminelle bak programvaren kan utnytte denne informasjonen videre.

Ifølge Intego sprøyter Flashback.G inn kode i nettleseren og andre programmer som kobler seg til internett, noe som ofte får dem til å krasje. Begynner dette plutselig å skje, kan det derfor være lurt å ta en sjekk av systemet.

Sjekk om du er infisert

Som en del av installasjonsprosessen putter trojaneren en usynlig fil i mappen /Users/Shares, skriver Macworld USA.

Selve filnavnet er variabelt, men den bruker filendelsen .so. Andre filer som blir opprettet er /Users/Shared/.svcdmp, ~/.MACOSX/environment.plist, og ~/Library/Logs/vmLog. En Java-applet blir dessuten plassert i ~/Library/Caches.

Hvis du mistenker at du har blitt infisert, kan du sjekke ved å starte Terminal-programmet (i /Programmer/Verktøy) og lime inn koden nedenfor og trykke på Enter.

ls /Users/Shared/.*.so

Dersom du får resultatet «No such file or directory», bør du være på trygg grunn. Hvis du i stedet får opp en liste med en eller flere filer med filendelsen .so, er sannsynligheten stor for at du er infisert.

Ifølge Intego vil ikke Flashback.G installere seg selv på maskiner med sikkerhetsprogrammer som deres eget VirusBarrier X6.

Apple har ennå ikke lagt til den nye trojaneren i det innebygde sikkerhetsverktøyet i OS X.

I forrige uke viste selskapet frem en forhåndsversjon av OS X 10.8 Mountain Lion som kommer med Gatekeeper, en sikkerhetsfunksjon for å låse ned hvilke programtilbydere som kan installere programmer på maskinen.

Les om:

Sikkerhet