Nieuwe Flashback-trojan heeft geen wachtwoord nodig voor installatie

In een blogpost schrijft Intego dat de nieuwe variant van de Flashback-trojan, die de naam Flashback.S heeft gekregen, gebruik maakt van het gat in Java dat Apple met een update heeft gedicht. Gebruikers die Java dus hebben geüpdatet zouden niet kwetsbaar zijn voor het virus. Het onzichtbaar installeren is overigens niet nieuw. De voorgaande versie vroeg gebruikers in eerste instantie om een root-wachtwoord. Als deze niet werd ingevuld installeerde de trojan zichzelf alsnog op onzichtbare wijze.

Werkwijze

Flashback.S kopieert zijn bestanden naar de volgende locaties: [list type="bullets"]~/Library/LaunchAgents/com.java.update.plist

~/.jupdate[/list]

Daarnaast verwijderd het virus alle bestanden en mappen in ~/Library/Caches/Java/cache. Hierdoor probeert Flashback.S detectie te voorkomen en het verzamelen van gegevens over het virus te verhinderen. Intego stelt inmiddels meerdere exemplaren van de Flashback.S-trojan te hebben verzameld.

Bescherming

Intego meldt dat de Flashback.S-malware zichzelf niet installeert als bepaalde software op de Mac is geïnstalleerd. Het gaat hierbij niet alleen om Intego's eigen VirusBarrier X6, maar ook Apple's Xcode of Obdev's LittleSnitch. Xcode is een toolkit die Apple verstrekt aan ontwikkelaars, terwijl LittleSnitch een tool die je waarschuwt zodra een applicatie verbinding probeert te maken met het internet.

Het Flashback-virus houdt de Mac-gemeenschap al enige tijd bezig. Het aantal infecties van de trojan zou inmiddels zijn opgelopen richting de miljoen Mac's. Zowel Apple als een aantal derden hebben tools uitgebracht waarmee je de trojan kunt opsporen en verwijderen.