AV-Comparatives tester Mac beskyttelsesprogrammer

IP Information Så har AV-Comparatives testet en række af de førende beskyttelsesprogrammer til din Mac. Testen kan hentes som PDF her:

http://www.av-comparatives.org/wp-content/uploads/2013/08/mac_review_2013_en.pdf

Reklamer

Ransomware fra “FBI” – er blot et lille javascript

Ransomware, Politivirus, Ukash og mange flere navne er brugt om computere, der låses af et program (virus), der efterfølgende forlanger penge af brugeren for at låse computeren op. Nu er der også dukket en lille simpel virus op, der rammer din Mac/Safari browser. Virus’en er skrevet i JavaScript og er faktisk ikke så slem. Skulle du være ramt, så kan du roligt slappe af – du skal ikke betale $ 300 for at få din computer låst op.

Hvis du bliver ramt, så vil du se dette billede:

…og blive præsenteret for en internetside fra “FBI”:

Det eneste du skal gøre er:

1. Luk Safari ved at taste cmd+alt+esc – og vælg at afbryde Safari.
2. Hold SHIFT tasten nede mens du åbner Safari

—Alternativ—

3. På nogle internetsider rådes man til at Nulstille Safari. Det er også en mulighed – det gør du ved at åbne Safari og i menulinjen foroven skal du vælge Safari -> Nulstil Safari
4. Vælg af nulstille alt undtagen TopSites og Adgangskoder.

—Alternativ—

5. Du kan også bare lukke browseren og derefter rydde browserdata med et program som eksempelvis CCleaner.

WUPTI – og “virus’en” er væk… 🙂

Du kan finde en fin write-up her:

http://blog.malwarebytes.org/intelligence/2013/07/fbi-ransomware-now-targeting-apples-mac-os-x-users/

Intego skriver ikke så meget, men de skriver dog:

http://www.intego.com/mac-security-blog/fbi-ransomware-prank-plagues-mac-safari-users/

Undgå Ask.com når du opdaterer eller installerer Java

Som PC-hjælper ved Ældresagen møder man en del computere, og for de fleste gælder det, at Ask.com toolbar’en er installeret i brugerens browser. Det er ikke et bevidst valg, men en funktion af, at Java skal opdateres så relativt ofte, og at brugeren ikke altid husker at fjerne flueben i Ask.com under installation/opdatering. Det hænder også, at brugeren ganske enkelt ikke har lagt mærke til – eller ved, hvad han eller hun har sagt ja til. Resultatet er, at stort set alle computere man møder har Ask.com installeret som toolbar. Så dels har brugeren mistet skærmplads i sin browser, dels hænger brugeren nu på Ask.com som søgemaskine.

Under installation og opdatering skal man fjerne fluebenet, hvis man vil undgå Ask.com toolbar’en.

Men der er en nemmere metode… Java reklamerer ikke med det, men man har “gemt” en switch, der ganske enkelt udelukker Ask.com og andre sponsorer (McAfee, Google og Yahoo Toolbars) ved Java installation/opdatering. I registreringsdatabasen skal du blot tilføje to nøgler/værdier for helt at undgå installation af sponsor software. Det er disse to nøgler, der skal skrives til:

•HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft
•HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\JavaSoft

Åben notesblok og kopier denne tekst ind i dokumentet:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft]
“SPONSORS”=”DISABLE”

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\JavaSoft]
“SPONSORS”=”DISABLE”

Gem dokumentet på dit Skrivebord som UndgaaSponsor.reg (skal gemmes med efternavnet .reg – ikke .txt). Dobbeltklik på UndgaaSponsor.reg og lad filen flette sig ind i registreringsdatabasen. Nu vil Ask og lignende sponsorer ikke installerer sig under installation/opdatering af Java. Du vil ikke engang blive spurgt… 🙂

Du kan hente den færdig fil HER. Den skal bare pakkes ud og dobbeltklikkes på.

XProtect – Mac’ens indbyggede beskyttelse blokerer Java..

Apple opdaterede det indbyggede beskyttelsesprogram – XProtect – den 31. januar. Dette skete for at beskytte brugere mod de mange huller, der fortsat opdages i Java. Apple tilføjede

<key>MinimumPlugInBundleVersion</key>
<string>1.7.11.22</string>

…til Xprotect.meta.plist, hvilket medførte, at Java blev blokeret, hvis du ikke havde Java version 7.11 installeret. Jeg ved ikke, hvor mange mennesker der pludselig fandt, at deres Java ikke virkede (i Safari), men mon ikke de fleste ville have sat pris på en lille information fra Apple. Det er ikke godt at vide, hvor mange, der spildte timer på at få deres Java til at virke…

Problemet var samtidigt, at man ikke kunne downloade andet end Java 7.10 – altså en version, der blev/bliver blokeret af Safari.
Jeg bruger selv Firefox uden Java aktiveret – og skifter så til Safari når Java skal bruges (netbank, borgerservice osv.). I dette tilfælde sloges jeg lidt med Safari uden at finde problemet, hvorefter jeg i en kort periode aktiverede Java i Firefox. Senere kunne jeg så læse forklaringen, men informationen kom ikke fra Apple…

Om Java og Javascript – mest om Java :-)

Java og Javascript er to vidt forskellige ting – to forskellige programmeringssprog. De har helt forskellig historie, og de har for så vidt kun de fire bogstaver “Java” til fælles. Men der er nu alligevel ét fælles træk. Begge programsprog kan levere funktionalitet til din browser, og derfor opstår der tit forvirring.

Javascript

Javascript giver websider og din browser ekstra funktionalitet, idet din browser henter og kører javascript, der ligger på de internetsider du besøger. Din browser forstår Javascript uden download af andre programmer eller plugins – og Javascript køres “inde i browseren”. Hvis du eksempelvis bruger Skattevæsnets tast-selv funktioner, så bruger du Javascript (hvis du vil ændre i din selvangivelse).

Java

Java er et selvstændigt programmeringssprog der i princippet kan bruges til alt, og Java er ikke begrænset til at bygge funktionalitet i din browser. I din browser leverer Java funktionalitet gennem programmer (applets) skrevet i Java. Applets ligger på forskellige internetsider – inklusiv mange netbank internetsider. Disse applets hentes og afvikles/køres af din browsers java-plugin. Af sikkerhedsgrunde afvikles applets i en “sandbox” og kan i teorien ikke lave ulykker udenfor sandbox’en. Ondsindede applets udnytter dog sårbarheder i Java til at bryde ud af sandbox’en, og inficere din computer med malware.

Java kommer i to versioner: JRE (Java runtime environment) og JDK (Java developer kit). Hvis du ikke selv programmerer, så har du kun brug for JRE. (JDK indholder JRE plus en lang række andre programmør værktøjer).

Begge “sprog” kan bruges af ondsindede mennesker til at inficere din computer med malware. Begge sprog er “cross-platform”, hvilket betyder, at de kører på alle styresystemer (Windows, Linux, Apple OS, Solaris m.fl.).

Anbefaling

Har du brug for Java? Tjah – til din netbank, men ellers er det begrænset, hvad Java kan tilbyde. Og med udvikling af HTML 5 og Javascript, så er Java i højere grad overflødig. Derfor er anbefalingen: Deaktiver Java (java-plugin) i din primære browser. Hvis du virkelig har brug for Java, så installer en sekundær browser, hvor du har aktiveret Java – og brug så denne sekundære browser når du skal i netbanken.

NetWeird – ny malware rettet mod Mac’en (og Windows, Linux og Solaris).

Det er næsten ikke værd at skrive om (men lidt skal der jo ske her på blog’en). For et par dage siden annoncerede Intego opdagelsen af malware’n NetWeirdRC, og i dag fulgte NakedSecurity (Sophos) op med en artikel. Og når jeg skriver, at det ikke er værd at skrive om den, så skyldes det, at NetWeird ikke rigtig virker. Bliver du ramt, så er den eneste effekt efter en genstart, at din “hjemmemappe” (Home folder) åbnes ved start af computeren. Når NetWeird installeres vil programmet installere sig som WIFIADAPT.app.app. Herudover lægger programmet sig i blandt dine opstartsprogrammer (login items), og forårsager i øjeblikket blot den nævnte åbning af en mappe. Men hvis programmet kører, så vil “de onde” kunne fjernstyre din computer, aflure dine private informationer osv. I øvrigt gennem en server i Holland…

Bliver du inficeret, så vil en simpel sletning af app’en fjerne infektionen. Ligeledes vil de gængse antivirus programmer beskytte dig. Endelig vil Mountain Lions “Gatekeeper” forhindre installation af infektionen. Så alt i alt – ikke værd at tale om (i øjeblikket) 🙂

Her et klip fra INTEGO’s analyse. Som det fremgår, så har infektionen tilføjet sig til de programmer, der startes ved computerstart – en mappe åbnes, og det er det…

Crisis eller Morcut…

…og der dukker flere detaljer op lidt efter lidt…:

http://nakedsecurity.sophos.com/2012/07/25/mac-malware-crisis-on-mountain-lion-eve/

I tråd med hvad jeg antydede i mit seneste indlæg:

So, watch this space for further details if you’re interested in the guts of modern Mac malware, and don’t forget:

Cybercrooks now consider Mac users to be worthwhile victims.
Malware can easily target multiple platforms.
WebEnhancers often aren’t.
If you don’t need Java, uninstall it. That leaves one less convenience for malware writers.
Don’t blindly ignore certificate warnings.
Don’t feel left out if you’re a Linux user.