Nu-i problemă doar de Safari, e mult mai complicat (și mai greu de reparat). O să încerc și eu să explic, în măsura în care am înțeles situația.

So, bugul este oarecum similar cu modul de răspândire al viermilor pe Windows, cu extensie dublă. Adică: viermele era un fișier cu extensia vbs (Visual Basic Script, care conținea “codul” viermelui), iar pentru propagare purta extensie dublă, cu o denumire care să atragă atenția victimei (chestii gen BritneySpearksNaked.jpg.vbs). Cum majoritatea sistemelor de operare (inclusiv Windows și Mac OS X) vin cu opțiunea de afișare a extensiilor dezactivată, victima vedea numele fișierului fără partea cu vbs (extensia reală), și percuta imediat la numele (incomplet) “BritneySpearsNaked.jpg”, gândindu-se “uuu, poză cu britni goală, să dau repede click”. Și gata infecția.

E, cam la fel e și cu testul de la Secunia, doar că treaba este mult mai parșivă aici. Povesteam prin alt topic cum Mac OS X e deștept și nu are nevoie să folosească extensiile fișierelor pentru a determina cu ce aplicație trebuie deschise, și folosește un sistem de resource forks, care sunt un fel de set adițional de informații ce poate fi atașat oricărui fișier, fie el aplicație sau nu (pentru informațiile tehnice detaliate, vedeți aici). E, problema este dată de faptul că un fișier cu extensia .txt (să zicem) poate fi setat prin modificarea acestor informații auxiliare să fie deschis cu o altă aplicație decât cea la care se așteaptă userul (de exemplu Terminal, cum e exemplul de la Secunia), iar aceste “res forks” se păstrează atunci când fișierele sunt transferate de pe Mac pe Mac (resource forks sunt la nivel de sistem de fișiere, și prezente pe HFS/HFS+ folosite de Mac). Cum ar veni, eu iau o sticlă de otravă, rup eticheta cu “OTRAVĂ - TOXIC” de pe ea, îi lipesc una cu “SUC DE FRUCTE NATURAL” și o fac cadou

Problema este complicată suplimentar și de faptul că pe Mac OS X iconul unui folder/fișier/aplicație poate fi modificat foarte ușor (copy & paste), și e simplu să faci un fișier text să pară a fi un filmuleț Quicktime sau o imagine JPEG. Deci, până și virușii sunt mai buni pe Mac

Așa, acum ce se poate face:

- mutarea Terminal-ului nu ajută la nimic (vezi discuția anterioară cu “găsirea” aplicației oriunde ar fi pe disc)
- la orice fișier suspect, dați-i un click-dreapta, “Get Info”; de exemplu, la “Secunia.mov” apare clar: Kind: Terminal Document, deci e clar că e ceva putred
- aceste fișiere nu pot fi sursă de infecție prin Mail, deoarece în Mail intră în acțiune direct Quicktime când e cazul; mi-am trimis de probă fișierul ăsta, și nu apare playerul Quicktime, ci rămâne atașat și atât; în schimb, un dublu-click pe fișier îl va rula (în Terminal) fără nici un avertisment !—concluzia, aveți grijă ce clickăiți, mai bine dați un save înainte și “Get Info” (better safe than sorry)

Încă nu e cazul de antiviruși; cu puțină atenție, merge fără.

in cel mult 3-5 zile o sa sara update-ul din meniu…SECURITY UPDATE…ahahahahhahahace ma face sa rad…ca na…macul e frumos..are design…alea alea sa zic asa…dar tre sa se lucreze mult mult mai adanc ca daca se da duma ca ar putea fi spart sa zic asa..o sa astepte lumea sa apara win vista!ce sa faci???nimic…eu spre ex nu am sa trec niciodata la macurile astea noi(cel putin asa cred)..cu intel in ele…mi se pare ca pot fi mult mai vulnerabile..eu raman pe pb meu asa cu power pc..

VAXXi - 23 Februarie 2006 08:32 AM

- mutarea Terminal-ului nu ajută la nimic

Misto explicatia, multumim.

Dar sa stii ca am facut o mica proba: in Safari optiunea de deschidere a fisierelor descarcate e bifata, iar Terminalul e mutat. Am refacut testul Secunia si dupa descarcare s-a deschis QuickTime, cu mesajul ca nu poate deschide Secunia.mov, ca nu intelege formatul. Si deci nu mi-a aparut Calculatorul!
Ceea ce inseamna ca testul asta se asteapta ca Terminalul sa fie la locul lui ca sa-l deschida.

Informatia am luat-o de pe HardMac (To prevent this from happening, uncheck “open ‘safe’ files after downloading” and move Terminal out of the Applications folder to keep it from running automatically.)

Inca o chestie: la mine Get Info la Secunia.mov imi arata la Kind: QuickTime Movie…

Nu inteleg de ce va complicati atat. Debifati optiunea in Safari si gata.

Problema e ca BOMArchiveHelper (unzipul built-in in lui MacOSX Tiger) la desfacerea unui Zip va lansa si ce gaseste acolo deoarece se gandeste ca asta vrea userul. Si aici e Buba.

Din ce am mai citit pe net, daca se instaleaza Stuffit Expander (care inlocuieste BOMArchiveHelper-ul) el nu mai face asta ci doar desface fisierul. Daca dai dubluclick pe fisierul desfacut tot porneste troianul-ul dar macar ai ocazia sa dai un Get Info pe el inainte

Treaba e ca Stuffit-ul are alte bube de-ale lui cu imaginile de disc.

Cred ca la adresa One Infinite Loop, Cupertino e multa lume nervoasa in acest moment

psergiu - 22 Februarie 2006 07:32 PM

Antivirusul Clam X AV (Free - licentza GNU)
http://www.clamxav.com/
Deja “prinde” toti troienii de Mail.App & Safari

A fost frumos cat a fost - acuma s-a sfarsit ...

As adauga, pentru cei cu tendinte paranoide, includerea in acest produs a lui ClamXav Sentry. Acesta monitorizeaza si scaneaza folderele dorite (de exemplu /Downloads, unde vin toate fisierele din Safari, Firefox, Acquisition, BitTorrent, etc.) doar cand apare ceva nou. Resurse folosite: practic zero. Optiune de pornire la start. Pana acum s-a dovedit foarte stabil.

‘Worms’ Turn on Apple Macs, Bigger Target as Sales Boom

http://online.wsj.com/public/article/SB114099964776283796-ZEID6okGb8UJgH41ZE6q2xSPqWs_20070227.html?mod=blogs

Bla, Bla, Bla, Fujitzi ca vine apocalipsa maica ...

A aparut update-ul.
http://docs.info.apple.com/article.html?artnum=303382

I just love Apple! Sint convins ca daca va lua o gripa in urmatorii ani ii va trece repede; numai gaina aia de windows nu mai scapa.

Da, nu mai apare Calculatorul, iar .mov-ul e vazut ca Terminal Document (in command-I)