Trojan per OSX?

[pierospanu]

http://www.securemac.com/applescript-tht-trojan-horse.php

http://www.zeusnews.it/index.php3?ar=stampa&cod=7793&numero=999

Qualcuno li ha letti? (domanda soprattutto rivolta ai guru del forum)

Cosa ne pensate?

Cosa seria oppure il solito fake dei produttori di antivirus-antimalware?

Piero

[fdg]

La questione è seria. Prova sul terminale:

osascript -e 'tell app "ARDAgent" to do shell script "whoami"';

La risposta è root.

[pierospanu]

La questione è seria. Prova sul terminale:

osascript -e 'tell app "ARDAgent" to do shell script "whoami"';

La risposta è root.

risultato:

23:47: execution error: ARDAgent got an error: "whoami" doesn’t understand the do shell script message. (-1708)

che vuol dire? (premetto che di terminale non so nulla...)

Piero

[Stone]

vuol dire che c'è un servizio (ARDAgent.app) che esegue applescript (osascript) come se fosse root quindi con privilegi massimi... dovrebbe bastare un chmod per bloccare il tutto no?

[Arcobaleno]

Io ho trovato questo link: http://www.tuaw.com/2008/06/19/ardagent-setuid-allows-root-access-but-theres-an-easy-fix/ ma è roba per esperti e non oso metterci mano.

Comunque non ho la webcam

[Michele Gazzaruso]

vuol dire che c'è un servizio (ARDAgent.app) che esegue applescript (osascript) come se fosse root quindi con privilegi massimi... dovrebbe bastare un chmod per bloccare il tutto no?

Basta levare il bit di SUID.

[Peppe_WH]

Ehi ehi, non capisco una cosa, perchè si stanno indicando vari codici da terminale o altre soluzioni? qui non mi pare che nessuno si sia beccato questo trojan...

[fabio69blq]

..l'altro giorno scaricavo da LimeWire o meglio cercavo di scaricare dei vecchi film e in preview di uno di questi, mi si apriva VLC ma mi dava pagina bianca anche se il segnalino del play procedeva.

Non è che potrebbe essere una cosa del genere?

Ma per essere eseguito (se si trasmette ad es. tramite file video o mp3) basta premere play sul lettore di turno? O bisogna eseguirlo o installarlo come fosse un comune programma, quindi scompattare il dmg ecc.... ??

In generale quali sintomi da? Se li da.

Ciao e grazie

[Stone]

Basta levare il bit di SUID.

esatto, da qualche parte ci sarà un ardagent.app o qualcosa di simile quindi chmod 4755 dovrebbe esser sufficiente... ma dal lato pratico cosa comporta? comprometti la funzionalità di ARD? non mi è mai capitato di utilizzarlo e non so bene a cosa serva...

[Michele Gazzaruso]

Il fatto è che questo agente come anche ARD è progettato per funzionare con privilegi di root. Levarli costituisce una misura di sicurezza, ma sicuramente rovina il funzionamento del programma.

La cosa è voluta. Non si tratta di nessun trojan.

Chi lo usa sta cosa sta facendo e si fida di chi controlla il suo computer.

[fdg]

Il problema è reale solo se consentite l'accesso alla vostra macchina ad utenti di cui non vi fidate. In questo momento questi utenti hanno la possibilità di agire come root usando l'ARDAgent. Ma negli altri casi, il problema non sussiste e secondo me non c'è ragione di prendere particolari precauzioni, tranne stare attenti a cosa si scarica. Ma quest'ultimo consiglio vale comunque anche senza considerare il problema di ARDAgent, perché un trojan può fare danno anche senza avere accesso come root. Cioè, un qualsiasi programma scaricato e che viene eseguito con l'autorizzazione dell'utente può permettersi di ravanare nella home e fare tanti danni. Ad esempio, potrebbe criptarvi i vostri documenti con una chiave sconosciuta in modo che vi si possa ricattare per riavere indietro il propri dati. OS X, ma come qualsiasi altro sistema, compresi linux e Vista col suo UAC, non vi proteggono affatto, perché è normale che un'applicazione possa accedere ai dati che stanno nella home dell'utente.

[fabio69blq]

Per curiosità, scaricare un film (con LimeWire) e farlo partire con play su VLC ad es. (quindi senza digitare alcuna password) puo essere considerato come metodo per eseguire questo Trojan??

Grazie