Poate cei mai mesteri sa se pronunte, cica ar fi un fisier cu aparente de troian pt Mac OSX
http://www.macrumors.com/pages/2006/02/20060216005401.shtml

Un pic mai evoluat decat Troianul Albanez

Acum vre-un an imi aduc aminte de o poveste cu un kit de Office (sau ceva in genul) propagat pe reteleme p2p care avea doar cateva sute de Kb si dupa ce il aduceai, montai DMG-ul, Aplicatia installer era de fapt un script care iti stergea toate fisierele din Home

Astea se numesc glume proaste. Si la downloadarea unui asemenea program MacOS-ul te intreaba: S-ar putea sa contina o aplicatie - esti sigur ? Daca tu ii dai continue ... treaba ta.

Da, asa e, era Office si avea cateva zeci de megi, deci era clar ca e facatura.
La troianul asta cica trebuie sa-i dai si parola ca sa continue, deci trebuie sa fi chiar tont sa dai parola ca sa vezi niste poze…

Daca am inteles eu corect chiar daca zici nu la authentication, aplicatiile pornite ulterior click-ului pe “jpeg” tot ti le strica.

5) It extracts an Input Manager called “apphook.bundle” that is embedded in the macho executable, and copies it to /tmp
6b) If your uid != 0 (you’re not root), it creates ~/Library/InputManagers/ , deletes any existing “apphook” bundle in that folder, and copies “apphook” from /tmp to that folder
7) When any application is launched, MacOS X loads the newly installed “apphook” Input Manager automatically into its address space

FYI, Input Manager folosesc si baietii de la UnSanity pentru modulele lor “Application Enhancer”.
Si o gramada de plugin-uri folosesc acelasi sistem (Saft, PithHelmet).
E interesant ca a aparut cineva sa se foloseasca de faptul ca instalarea unui Input Manager pentru user-ul curent nu cere autentificare.

Toate bune

—
c

Din raspunsurile de pe forumurile Ambrosia:
=================
1. If you don’t have an InputManagers folder, create one
2. Then control click on the folder and select “enable folder actions”
3. Next, control click the InputManagers folder again and select “attach a folder action”.
4. A window will open, click on “add - new item alert”
5. Click choose.

Avem si un Advisory
http://www.sophos.com/virusinfo/analyses/osxleapa.html

si totusi cred ca ne putem proteja de troianul asta, pe deasupra, astept ceva de la apple… or fi stiind de troian?

Da, ne putem proteja foarte simplu: NU RULATI SOFTWARE/FISIERE DIN SURSE NECUNOSCUTE!

altero - 16 Februarie 2006 08:46 PM

Poate cei mai mesteri sa se pronunte, cica ar fi un fisier cu aparente de troian pt Mac OSX
http://www.macrumors.com/pages/2006/02/20060216005401.shtml

descrierea celor care au pățit-o în arată ca un virus sănătos de MAC OS X. să-l sărbătorim cum se cuvine. sper să nu înceapă...

Nu e nici un virus, nimica…

A mai fost unul acum vreo 2 ani, total benign, doar arata ca se poate. Era un fisier al carui icon il arata ca fiind de-al iTunes-ului, dublu-click-ai pe el si se deschidea iTunes dar aparea un mesaj de genul: “Looks like iTunes, it’s open by iTunes, but it’s not playing. What it is?”
Din cate stiu nu a fost catalogat ca virus.

Misto eveniment.

Mai baieti… nu e virus, nu va panicati degeaba… s-a mai discutat despre ceva asemanator acum vreo cateva luni…

Tudor - 17 Februarie 2006 02:50 AM

Mai baieti… nu e virus, nu va panicati degeaba… s-a mai discutat despre ceva asemanator acum vreo cateva luni…

nu m-am panicat, Tudore, l-am sărbătorit! poate începe…

eu nu ma bucur oricum si nici nu sarbatoresc…

szhoul - 17 Februarie 2006 03:48 AM

eu nu ma bucur oricum si nici nu sarbatoresc…

ei, „a sărbători” era folosit eufemistic… sper să nu înceapă...