Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Help zipp bestand uit mail geopend

07-03-2017, 21:32 door [Account Verwijderd], 30 reacties
Help per ongeluk een zipp bestand geopend uit een mail. Ik kreeg iets in beeld toen ik deze opende. Ik heb eerst mijn avg virus scanner laten lopen . Deze gaf niets aan. Net op virus totaal het bestand laten lopen en daar kwam dit uit. Wat moet ik nu doen.
Ik heb een imac.
20170307
Avira (no cloud) HEUR/Suspar.Gen 20170307
DrWeb JS.DownLoader.1225 20170307
K7AntiVirus Trojan ( 004dfe6d1 ) 20170307
K7GW Trojan ( 004dfe6d1 ) 20170307
Sophos Mal/DrodZp-A 20170307
ALYac 20170307
AVG 20170307
AVware 20170307
Ad-Aware
Reacties (30)
07-03-2017, 21:52 door Erik van Straten
Vermoedelijk gaat het hierbij om een .js (JavaScript) bestand in een zip file. Meestal haalt zo'n bestand geen andere rottigheid uit dan de feitelijke malware downloaden, en in de meeste gevallen gaat het dan om Windows malware (die niet werkt op een iMac).

Met de informatie die je geeft kunnen we niet veel. Als je de volledige URL naar de VirusTotal scan vermeldt, of 1 van de hashes (SHA256, SHA1 of MD5), dan hoeven we in elk geval niet te gokken dat het om een Javascript bestand gaat.
08-03-2017, 09:17 door [Account Verwijderd]
Dit kan ik erover vinden.

Contained files
This file is a compressed stream containing 1 file.
[+] factuur23928-0826718.js unknown 38123 Bytes
Compression metadata
Contained files1
Uncompressed size38123
Highest datetime2017-03-07 13:27:14
Lowest datetime2017-03-07 13:27:14
Contained files by extension
js1
Contained files by type
unknown1
ExifTool file metadata
MIMETypeapplication/zip
ZipRequiredVersion20
ZipCRC0xb8fad5ba
FileTypeZIP
ZipCompressionDeflated
ZipUncompressedSize38123
ZipCompressedSize9566
FileTypeExtensionzip
ZipFileNamefactuur23928-0826718.js
ZipBitFlag0
ZipModifyDate2017:03:07 13:27:07
Blog | Twitter | contact@virustotal.com | Google-groepen | Voorwaarden | Privacybeleid
08-03-2017, 10:25 door Anoniem
Nelleke,

Wat Erik bedoelde was de link van de pagina waarop je zat op het moment dat virustotal je de informatie van het gescande bestand heeft gegeven
Bijvoorbeeld iets als
https://www.virustotal.com/en/file/............................../analysis

Waar de puntjes in de bocenstaande link staan staat dan een hele lange reeks cijfers en letters.
Graag de juiste en hele link hier plaatsen zodat we zelf de pagina in virustotal kunnen zien en even kunnen controleren om wat voor soort virus het gaat.
Vrij kleine kans dat het echt vervelende Mac rommel is, heel misschien ‘reclame-ware’
Meer advies mogelijk als je dus even de informatie geeft waar hier om gevraagd wordt.
Anders kunnen we je niet helpen.

Groet
Andere Mac gebruiker
08-03-2017, 11:17 door sjonniev
Geen hash?
08-03-2017, 11:22 door Erik van Straten
Wat ik bedoel is een URL zoals deze: https://www.virustotal.com/en/file/31787636d33de0013ac2fb01be409b86f51e1ce711a6355d5a188c63727b431f/analysis/

Dat lange (hexadecimale) getal in die URL (31787636d33de0013ac2fb01be409b86f51e1ce711a6355d5a188c63727b431f) is de SHA256 hash van het bestand. Die hash zie je ook bovenaan als je de VirusTotal webpagina opent. Onder het tabblad "Additional information" staan ook MD5 en SHA1 hashes van het bestand.

Een hash is een soort unieke vingerafdruk van een bestand. Als je zo'n hash kent, kun je ook daarmee de scan van het betreffende bestand op VirusTotal terugvinden.

Maar goed, in je bijdrage hierboven staat in elk geval dat er een file "factuur23928-0826718.js" in de zip zit. Deze zijn "obfuscated" waardoor virusscanners maar ook mensen niet zomaar kunnen zien dat, en vanaf welke site(s), getracht wordt aanvullende malware te downloaden en op te starten. In de meeste gevallen gaat het om een Windows executable, die kan geen kwaad op jouw systeem. Maar ik kan niet uitsluiten dat de aanvullende malware wel werkt op een iMac.
08-03-2017, 12:02 door Anoniem
G Data: Submit a suspicious file, app or URL
https://www.gdata.nl/ondersteuning/zoekactie/consumer/submit-a-suspicious-file-app-or-url

Je krijgt binnen twee werkdagen netjes antwoord van G Data AG of je wel of geen aanmerkelijk risico hebt gelopen, en wat je er (nog) tegen zou kunnen uitrichten. Uiteraard met hun oplossing. Er zijn geen kosten aan de file submit verboden.

Andere ICT-security firma's en ook sommige open source anti-malware projecten bieden veelal vergelijkbare "suspicious file submit" diensten.

Zo heeft bijvoorbeeld ClamAV (www.clamav.net) een functie waarmee je een verdacht bestand ter analyse kunt inzenden. Zeer aan te bevelen, ook voor iMac.
08-03-2017, 12:36 door bollie
Door Nelleke1966: Help per ongeluk een zipp bestand geopend uit een mail. Ik kreeg iets in beeld toen ik deze opende.
Is het niet zo dat het openen van het Zip bestand en het opstarten van de inhoud (JS bestand in dit geval) twee verschillende handelingen zijn? Als mijn veronderstelling juist is, heeft topic-startster alleen maar de inhoud gezien zonder de malware te starten. Dan zou er dus helemaal niets aan de hand zijn.....
Graag een reactie....
08-03-2017, 16:10 door SecGuru_OTX
Virustotal is niet de meest betrouwbare source, hier staan n.l. alleen bekende varianten in.

Je lunt het bestand(de .js) laten uitvoeren in de Sandbox van payload security. Het bestand zal dan op een virtuele PC worden geopend en geanalyseerd.

Een goede oplossing om 0-days te ontdekken, hierbij de link van de Sandbox:

https://www.hybrid-analysis.com
08-03-2017, 22:20 door [Account Verwijderd]
www.virustotal.com/nl/file/dc02e26223e3a019f67a20e97e8219b64ebdbe34ca12107ce89cc167d85c919b/analysis/1488916289/
08-03-2017, 22:21 door [Account Verwijderd]
Ik heb op het zipp bestand geklikt , maar zag verder niets in beeld komen.
08-03-2017, 22:22 door [Account Verwijderd]
Door bollie:
Door Nelleke1966: Help per ongeluk een zipp bestand geopend uit een mail. Ik kreeg iets in beeld toen ik deze opende.
Is het niet zo dat het openen van het Zip bestand en het opstarten van de inhoud (JS bestand in dit geval) twee verschillende handelingen zijn? Als mijn veronderstelling juist is, heeft topic-startster alleen maar de inhoud gezien zonder de malware te starten. Dan zou er dus helemaal niets aan de hand zijn.....
Graag een reactie....
Ik heb op het zipp bestand geklikt , maar zag verder niets in beeld komen.
08-03-2017, 22:26 door [Account Verwijderd]
Door SecGuru_OTX: Virustotal is niet de meest betrouwbare source, hier staan n.l. alleen bekende varianten in.

Je lunt het bestand(de .js) laten uitvoeren in de Sandbox van payload security. Het bestand zal dan op een virtuele PC worden geopend en geanalyseerd.

Een goede oplossing om 0-days te ontdekken, hierbij de link van de Sandbox:

https://www.hybrid-analysis.com

Dit is de link nadat ik hem gedraaid heb. Begrijp er helemaal niets van.

https://www.hybrid-analysis.com/sample/11edf9436a9205c88c2a815cf6ebfb0a7a42eb150a2649766b3bb30350ee35ed?environmentId=2
08-03-2017, 22:38 door bollie
Door Nelleke1966:
Door bollie:
Door Nelleke1966: Help per ongeluk een zipp bestand geopend uit een mail. Ik kreeg iets in beeld toen ik deze opende.
Is het niet zo dat het openen van het Zip bestand en het opstarten van de inhoud (JS bestand in dit geval) twee verschillende handelingen zijn? Als mijn veronderstelling juist is, heeft topic-startster alleen maar de inhoud gezien zonder de malware te starten. Dan zou er dus helemaal niets aan de hand zijn.....
Graag een reactie....
Ik heb op het zipp bestand geklikt , maar zag verder niets in beeld komen.

Dat zou volgens mijn gezonde-en-simpele-boerenverstand betekenen dat je het zip bestand hebt geopend maar de inhoud niet geactiveerd hebt. Probleem zou hiermee dan opgelost zijn voor jou....
09-03-2017, 00:19 door Anoniem
Dag ‘Nelleke’,

Dank voor de VT link
Die inderdaad niet veel meer specifieke informatie geeft.

Voor zover er informatie is te vinden bij andere AV bedrijven lijkt het in de richting van windows malware te wijzen.
Ik heb eerlijk ook nog niet gehoord van javascript malware die Trojans binnenhaalt voor Mac.
Het aardige is dat als dat gebeurt iedereen (de mac community en daarna de security pers) erbovenop duikt want groot nieuws : malware gevonden voor de mac!
Dus ik denk dat het windows malware is.

Wat je zelf kan doen is het volgende
Ongevaarlijk, maar op eigen verantwoordelijkheid en een back up heb je altijd want die maak je netjes met je Time Machine nietwaar


Gaan we :

- Offline gaan met je Mac

- Mac opnieuw opstarten met de shift toets ingedrukt houden
ik weet niet welk mac os x je hebt maar de nieuwsten gaan dan flink knipperen als je inlogt om je te waarschuwen dat je in de safe modus zit en daar ook niet in verder moet werken (standaard dan)

- Daarna ga je naar je systeemvoorkeuren (grijs vakje met radartjes in je dock-bar onderaan) en klikt op de voorkeuren van de gebruikers te herkennen aan silhouet mennekes

- Open die voorkeuren en ga naar login rechts boven en kijk of daar rare software items bij staan die mee opstarten.
typisch wat je daar kan vinden is ituneshelper, Skype, office, Dropbox, je virusscanner ,...

Het mooist is als daar zo weinig mogelijk staat, met uitzondering van een virusscanner dan.
Staat daar echt een raar programma dat je niet kent (hopelijk is het wel jouw mac en werken anderen er niet of op met software die jij niet kent) , dan kan je het daar weghalen met een minnetje

Dit is een typische plek om malware mee te laten opstarten met je mac

- Ga daarna nog even voor de zekerheid naar de voorkeuren security (veiligheid) in je algemene voorkeuren paneel en kijk of daar onderaan de setting staat
“allow apps downloaded from: Mac app store .

Dat is de veiligste setting.
wil je iets buiten de app store installeren let dan goed op, lees nog over de software en haal het alleen van de site van de maker, en verlaag dan het niveau daar tot je de app wel kan installeren.
daarna verhoog je het weer.

- Open nu je browser waarmee je browst, dat zal vast Safari zijn?
Houdt bij het openen de shift toets weer ingedrukt (veilig opstarten) en verwijderen je internethistorie, dat vindt je bovenaan onder menu Safari en kies voor alle historie wissen.
Dat raadt ik je aan omdat volgens mij die mac .js files direct in de browser opent en je dus mogelijk naar een site bent geweest waar je niet wilde zijn zonder dat je er erg in had.

O,ja, ik vergeet het bijna, in de eerste voorkeur algemeen van Safari, haal daar onderaan het vinkje weg “ veilige / vertrouwde bestanden automatisch openen na download.
helemaal niet. dat doe je voortaan met de hand. ;

Kijk daar nog even of je home startpage adres niet is veranderd.

je kan daarna nog naar privacy voorkeur gaan en daar onder manage website data kijken of er rare dingen staan en weghalen of alles weghalen, maar als het goed is is dat al weg met het eerste wissen van daarnet.

Dan gaan we nog even kijken of dat javascript geen reclame ware heeft geïnstalleerd en kijke we bij extensies, haal daar alles weg wat je niet bevalt of niet zelf geïnstalleerd hebt.

sluit daarna Safari af.

- Start daarna je mac weer gewoon op doe er wat dingen mee, kijk of je iets raars opvalt, open je browser een paar keer en sluit haar weer.
als alles weer normaal werk ga dan weer online.

Dit is geen garantie maar al een prima check die je zelf hebt gedaan dan, het kan altijd uitgebreider, maar dat wordt te gek om dat hier helemaal te gaan beschrijven.


Vertrouw je het dan nog niet, mmmm
Roep er dan iemand (live) bij die je kan helpen.
Wat ook kan is een indicatie rapportje draaien met het speciaal voor mac community hulpvragen geschreven programmaatje “"Etrecheck"” en publiceer de resultaten hier opdat er naar gekeken kan worden.
Maar kijk er eerst naar voordat je iets op het net gooit.

Dit (etrecheck rapportjes publiceren) doet men continue op de apple support community forums en ook op Nederlandse apple hulp vraag forums.
Zelf hou ik er niet heel erg van qua privacy dat publiceren, maar het zijn ook weer geen wereldschokkende computer/systeem gegevens en je bent ook nog anoniem hier (mits nelleke1966 niet herleidbaar is tot een echte nelleke met huisadres om je spullen op te halen als jij net even weg bent).

Wat een ander aan een dergelijk Etrecheck rapport soms in een oogopslag kan zien is dus welke opstartitems je mac heeft (heb je nu zelf al bekeken), wat voor mogelijk vreemde zaken er nog meer geïnstalleerd zijn op admin niveau, natuurlijk het soort mac dat je hebt met welke versie van os x, welke internet plugins je hebt geïnstalleerd.
Dat soort dingen, vaak zit het een aanwijzing voor een probleem tussen.

Het programmaatje beweert ook reclame-ware te kunnen opsporen, ik heb er echter geen ervaring mee want nooit last daarvan.

Etrecheck : https://etrecheck.com/
Goed in het verwijderen van reclame-ware is het programma van thomas reed / malware bytes, de gratis versie.
maar die scanner herkent jou bestand nog niet, maar je kan het proberen.
https://www.malwarebytes.com/mac/

En geen twee virusscanners standaard tegelijkertijd draaien, dan zitten ze elkaar inde weg en levert mogelijk problemen op.
Maarrr, bij twijfel : niet oversteken, niets digitaals openen, en niets op het web publiceren.

Dus het klikvingertje met zipjes voortaan in bedwang houden, op zich niets om voor te schamen want vrijwel iedereen heeft er wel eens last van.
Daarom werkt de truuk ook zo goed.
Gelukkig is er eigenlijk geen (?) zip malware voor de Mac op de email, nog niet, was dit een mooie waarschuwing.


Succes met de iMac

Groet

andereMac
09-03-2017, 07:27 door [Account Verwijderd]
Door bollie:
Door Nelleke1966:
Door bollie:
Door Nelleke1966: Help per ongeluk een zipp bestand geopend uit een mail. Ik kreeg iets in beeld toen ik deze opende.
Is het niet zo dat het openen van het Zip bestand en het opstarten van de inhoud (JS bestand in dit geval) twee verschillende handelingen zijn? Als mijn veronderstelling juist is, heeft topic-startster alleen maar de inhoud gezien zonder de malware te starten. Dan zou er dus helemaal niets aan de hand zijn.....
Graag een reactie....
Ik heb op het zipp bestand geklikt , maar zag verder niets in beeld komen.

Dat zou volgens mijn gezonde-en-simpele-boerenverstand betekenen dat je het zip bestand hebt geopend maar de inhoud niet geactiveerd hebt. Probleem zou hiermee dan opgelost zijn voor jou....

Dank je wel.
09-03-2017, 10:23 door [Account Verwijderd] - Bijgewerkt: 09-03-2017, 10:25
[Verwijderd]
09-03-2017, 11:52 door bollie - Bijgewerkt: 09-03-2017, 11:53
Door Poco:
Door bollie: Dat zou volgens mijn gezonde-en-simpele-boerenverstand betekenen dat je het zip bestand hebt geopend maar de inhoud niet geactiveerd hebt. Probleem zou hiermee dan opgelost zijn voor jou....

Dat wordt hier - https://nakedsecurity.sophos.com/2016/04/26/ransomware-in-your-inbox-the-rise-of-malicious-javascript-attachments/ ook gesteld:

- het betreft primair Windows systemen;
- email programma's voeren geen JavaScript uit;
- je moet een uitgepakte .js file hebben uitgevoerd (aangeklikt) om de malware te activeren.

Alleen onder Windows worden op het systeem aanwezige .js bestanden (die je moeilijk kan onderscheiden wanneer file extensies weergeven uit staat) uitgevoerd bij aanklikken.

Uit de link hierboven: "Unfortunately, once a .JS file has been saved to your hard disk, Windows will run it by default outside your browser, using a system component called WSH, short for Windows Script Host."

Mijn vermoeden wordt bevestigd door deze informatie.
Dank je wel, weer wat geleerd!
09-03-2017, 13:23 door Spiff has left the building
off-topic

Door Poco, 10:23 uur:
[...]
Uit de link hierboven: "Unfortunately, once a .JS file has been saved to your hard disk, Windows will run it by default outside your browser, using a system component called WSH, short for Windows Script Host."

Off-topic in deze thread, maar nuttig om te weten voor Windows gebruikers:
Windows Script Host kan eventueel worden uitgeschakeld, via het Windows register.
Ga daarvoor naar
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
maak een nieuwe DWORD waarde en geef die de waardenaam Enabled
en stel de waardegegevens in op 0

Bronnen:
https://labsblog.f-secure.com/2016/04/19/how-to-disable-windows-script-host/
https://technet.microsoft.com/en-us/library/ee198684.aspx

/end off-topic
09-03-2017, 20:38 door Anoniem
Is Windows malware. Dus je bent veilig op je MAC. Maar wel echt een foute.
09-03-2017, 21:21 door SecGuru_OTX
Beste Nelleke1966,

Ik ben toch wel even benieuwd welke email dienst je gebruikt? .js als attachment doorlaten kan echt niet meer (anno 2017).
10-03-2017, 00:02 door Anoniem
@Spiff

Dank!
10-03-2017, 22:54 door Anoniem
Handelen naar de letter en/of naar de praktijk

Wat dit topic heeft opgeleverd is niet alleen een antwoord maar ook een mooie illustratie, van meerdere zaken eigenlijk maar ik pak er 1 uit.
Misschien ken je het als helpdeskmedewerker, reparateur of vanuit het assisteren van mensen bij computerproblemen.
Hoe moet je het verhaal waar iemand mee komt inschatten?

Ga je ervanuit of iemand exact in staat is een onverwachte gebeurtenis achteraf exact goed weer te geven en samen te vatten?
Of ga je er vanuit dat of variabel mogelijke redenen informatie niet is gegeven, is weggegeven of anders is geïnterpreteerd?

Bijvoorbeeld

Help zipp bestand uit mail geopend

07-03-2017, 21:32 door Nelleke1966:
Help per ongeluk een zipp bestand geopend uit een mail. Ik kreeg iets in beeld toen ik deze opende. Ik heb eerst mijn avg virus scanner laten lopen . Deze gaf niets aan. Net op virus totaal het bestand laten lopen en daar kwam dit uit. Wat moet ik nu doen.
Ik heb een imac.
&
08-03-2017, 22:21 door Nelleke1966: Ik heb op het zipp bestand geklikt , maar zag verder niets in beeld komen.

Wel of niets in beeld?

Dit valt wel te repliceren (als het inderdaad een zip file betrof).
Wat namelijk (wel degelijk) in beeld flitst bij het aanklikken is "de uitpak-progress-finder-melding" van het programma "Archive Utility.app"

Als je pech hebt is het een volgende keer iets anders, terminal (Shell) bijvoorbeeld met een zeer verkeerd script.
Voorstelbaar (bij benadering): omdat het pakketje misschien wel de extensie punt-spatie-zip had (of punt-spatie-zipp voor de liefhebbers) en jij je extensie weergave helemaal niet had geactiveerd en het dus eigenlijk geen zip bestand maar een Shell script betrof.
Het ziet er naar uit dat de mac dat gewoon uitvoert als executable (mits het een dergelijk .sh-code achtig bestand is)

Ik noem maar een richting, denk vooral mee, kan mogelijk van alles als het slim is uitgewerkt.
Facinerend, social engineering.


Wat is dan, in zo'n geval, je analyse waard?
En was het dan verstandig geweest wèl verder te kijken.

Wat is wijsheid in welke situatie?

Pak je het verhaal exact of wat ruimer en neem je mogelijke consequenties mee die net buiten het gepresenteerde verhaal liggen?
Dat is de vraag.
Ik kan me voorstellen dat als je een handeltje hebt voor computerbiz het krapste referentiekader helpt.
Oplossen naar de letter en klaar, factureren maar.

Maar is de klant daar altijd mee geholpen?
Dat is de vraag.
Moet je de klant dan wijzen en meenemen in een bredere check om het zekere voor het onzekere te nemen?
Een bange a-technische klant zal dat niet willen, ingewikkeld, eng en duurder (wanneer niet gratis), de kans dat een snelle korte oplossing zal worden omarmd zal hoog zijn.
Maar of je iemand er echt goed mee helpt?

Nelleke horen we niet meer.
Dus die is kennelijk tevreden gesteld, hopen we dan maar.

Meer meerwaarde

Ondanks een variabele deelneem behoefte leek het me wel aardig om 1 meerwaarde uit dit topic aan te stippen in relatie tot de praktijk.
Want ik weet niet hoe het bij jullie is, maar ik heb namelijk zelden de ervaring dat iemand in staat is exact op te slaan wat hij zij in de continue stroom van split second handelingen doet.
Kijk maar eens mee met iemand over de schouder als je iemand iets wil leren of gewoon even meekijkt hoe iemand iets doet achter een computer.

Herken je dit?

Systeemmelding / browsermelding, you-name -it melding popt up:

Persoon) : klik klik (met de muis)
Jij) : "Wat klikte je daar nou weg?"
Persoon) : "O, niets"
Jij) : "Jawel, je klikte een melding weg, wat was dat voor melding? Ken je die? Heb je haar gelezen?"
Persoon) : "O, dat, dat is niets, dat klik ik altijd weg"
Jij) : "Weet je zeker dat het altijd dezelfde melding is, heb je haar gelezen en begreep je dan wat er stond?"
Persoon) : "Nee"
Jij) : "Waarom klik je haar dan ongelezen weg?"
Persoon) : " .... (redenen divers)"



Het kan natuurlijk dat iemand bewuster handelt.
Maar dan nog, welke speling kan er in een verhaal over een ervaring zitten.
Wat is iemand gewend en welke gewenning wordt al niet meer opgeslagen als bewuste handeling?

Wat is een analyse waard en in welke omstandigheden?

Hoe weet je zeker of malware een oude of nieuwe variant betreft als je niet helder krijgt wat het precies doet, je haar niet zelf hebt kunnen testen, av bedrijven summiere en algemene informatie geven of erger nog in de meeste gevallen nog helemaal niet herkennen.

Op basis van algemene kenmerken waaronder bijvoorbeeld de bestandssoort kan je een inschatting maken wat zij waarschijnlijk wel of niet kan.
Maar dat is natuurlijk nog geen garantie dat het niet kan.

Security pijlers

Eén van de basis pijlers in security is namelijk dat wat vandaag niet kan, morgen wel kan, omdat men steeds nieuwe methodes vindt om dingen voorelkaar te krijgen waarvan men dacht dat het niet kon.
Anders hadden we ook geen security patches nietwaar?

Dat een verpakt 'javascript' file vandaag in sommige gevallen niet autoexecutable is, wil nog niet zeggen dat het dat morgen niet is.
Sommige verpakkingen bieden die autoexecutabiliteit wel, zip officieel nog niet.
Nog niet, vandaag, en dan moet je er ook nog 100% van op aan kunnen dat wat de ander je vertelt 100% de lading dekt.

Dat is eigenlijk nooit zo.
Maar het zou mooi zijn als het wel zo was.
Wat doe jij tot die tijd in welke situatie?
Jezelf en de ander tevreden stellen?
Net even verder kijken (voor het geval dat)?

Dat we daar anders mee omgaan is in dit topic aardig geïllustreerd en wilde daar specifiek nog eens op wijzen.
11-03-2017, 12:56 door Anoniem
Neem avira avg is niet zo goed );
Avira is in zonbeetje alles het beste zo je zal geen problemen meer hebben met Avira ;)
11-03-2017, 18:42 door Anoniem
Door Anoniem: Dag ‘Nelleke’,

Dank voor de VT link
Die inderdaad niet veel meer specifieke informatie geeft.

Voor zover er informatie is te vinden bij andere AV bedrijven lijkt het in de richting van windows malware te wijzen.
Ik heb eerlijk ook nog niet gehoord van javascript malware die Trojans binnenhaalt voor Mac.
Het aardige is dat als dat gebeurt iedereen (de mac community en daarna de security pers) erbovenop duikt want groot nieuws : malware gevonden voor de mac!
Dus ik denk dat het windows malware is.

Wat je zelf kan doen is het volgende
Ongevaarlijk, maar op eigen verantwoordelijkheid en een back up heb je altijd want die maak je netjes met je Time Machine nietwaar


Gaan we :

- Offline gaan met je Mac

- Mac opnieuw opstarten met de shift toets ingedrukt houden
ik weet niet welk mac os x je hebt maar de nieuwsten gaan dan flink knipperen als je inlogt om je te waarschuwen dat je in de safe modus zit en daar ook niet in verder moet werken (standaard dan)

- Daarna ga je naar je systeemvoorkeuren (grijs vakje met radartjes in je dock-bar onderaan) en klikt op de voorkeuren van de gebruikers te herkennen aan silhouet mennekes

- Open die voorkeuren en ga naar login rechts boven en kijk of daar rare software items bij staan die mee opstarten.
typisch wat je daar kan vinden is ituneshelper, Skype, office, Dropbox, je virusscanner ,...

Het mooist is als daar zo weinig mogelijk staat, met uitzondering van een virusscanner dan.
Staat daar echt een raar programma dat je niet kent (hopelijk is het wel jouw mac en werken anderen er niet of op met software die jij niet kent) , dan kan je het daar weghalen met een minnetje

Dit is een typische plek om malware mee te laten opstarten met je mac

- Ga daarna nog even voor de zekerheid naar de voorkeuren security (veiligheid) in je algemene voorkeuren paneel en kijk of daar onderaan de setting staat
“allow apps downloaded from: Mac app store .

Dat is de veiligste setting.
wil je iets buiten de app store installeren let dan goed op, lees nog over de software en haal het alleen van de site van de maker, en verlaag dan het niveau daar tot je de app wel kan installeren.
daarna verhoog je het weer.

- Open nu je browser waarmee je browst, dat zal vast Safari zijn?
Houdt bij het openen de shift toets weer ingedrukt (veilig opstarten) en verwijderen je internethistorie, dat vindt je bovenaan onder menu Safari en kies voor alle historie wissen.
Dat raadt ik je aan omdat volgens mij die mac .js files direct in de browser opent en je dus mogelijk naar een site bent geweest waar je niet wilde zijn zonder dat je er erg in had.

O,ja, ik vergeet het bijna, in de eerste voorkeur algemeen van Safari, haal daar onderaan het vinkje weg “ veilige / vertrouwde bestanden automatisch openen na download.
helemaal niet. dat doe je voortaan met de hand. ;

Kijk daar nog even of je home startpage adres niet is veranderd.

je kan daarna nog naar privacy voorkeur gaan en daar onder manage website data kijken of er rare dingen staan en weghalen of alles weghalen, maar als het goed is is dat al weg met het eerste wissen van daarnet.

Dan gaan we nog even kijken of dat javascript geen reclame ware heeft geïnstalleerd en kijke we bij extensies, haal daar alles weg wat je niet bevalt of niet zelf geïnstalleerd hebt.

sluit daarna Safari af.

- Start daarna je mac weer gewoon op doe er wat dingen mee, kijk of je iets raars opvalt, open je browser een paar keer en sluit haar weer.
als alles weer normaal werk ga dan weer online.

Dit is geen garantie maar al een prima check die je zelf hebt gedaan dan, het kan altijd uitgebreider, maar dat wordt te gek om dat hier helemaal te gaan beschrijven.


Vertrouw je het dan nog niet, mmmm
Roep er dan iemand (live) bij die je kan helpen.
Wat ook kan is een indicatie rapportje draaien met het speciaal voor mac community hulpvragen geschreven programmaatje “"Etrecheck"” en publiceer de resultaten hier opdat er naar gekeken kan worden.
Maar kijk er eerst naar voordat je iets op het net gooit.

Dit (etrecheck rapportjes publiceren) doet men continue op de apple support community forums en ook op Nederlandse apple hulp vraag forums.
Zelf hou ik er niet heel erg van qua privacy dat publiceren, maar het zijn ook weer geen wereldschokkende computer/systeem gegevens en je bent ook nog anoniem hier (mits nelleke1966 niet herleidbaar is tot een echte nelleke met huisadres om je spullen op te halen als jij net even weg bent).

Wat een ander aan een dergelijk Etrecheck rapport soms in een oogopslag kan zien is dus welke opstartitems je mac heeft (heb je nu zelf al bekeken), wat voor mogelijk vreemde zaken er nog meer geïnstalleerd zijn op admin niveau, natuurlijk het soort mac dat je hebt met welke versie van os x, welke internet plugins je hebt geïnstalleerd.
Dat soort dingen, vaak zit het een aanwijzing voor een probleem tussen.

Het programmaatje beweert ook reclame-ware te kunnen opsporen, ik heb er echter geen ervaring mee want nooit last daarvan.

Etrecheck : https://etrecheck.com/
Goed in het verwijderen van reclame-ware is het programma van thomas reed / malware bytes, de gratis versie.
maar die scanner herkent jou bestand nog niet, maar je kan het proberen.
https://www.malwarebytes.com/mac/

En geen twee virusscanners standaard tegelijkertijd draaien, dan zitten ze elkaar inde weg en levert mogelijk problemen op.
Maarrr, bij twijfel : niet oversteken, niets digitaals openen, en niets op het web publiceren.

Dus het klikvingertje met zipjes voortaan in bedwang houden, op zich niets om voor te schamen want vrijwel iedereen heeft er wel eens last van.
Daarom werkt de truuk ook zo goed.
Gelukkig is er eigenlijk geen (?) zip malware voor de Mac op de email, nog niet, was dit een mooie waarschuwing.


Succes met de iMac

Groet

andereMac

Dat gebeurt al 4 jaar niet, en toch is die malware er allang.
Wat blijkt: meeste mac-gebruikers zijn enkel geinteresserd dat de computer gewoon werkt en hebben afgelopen jaren keer-op-keer te horen gekregen dat macs ultiem veilig is omdat er nog geen malware voor geschreven zou zijn.

Dacht je nou serieus als een paar woonwijken geen sloten in de deuren zet, dat niemand daar zal pogen inbreken? Dat zeker alleen omdat je nog niks miste, maar stiekem de hele kelder al leeggeroofd is.
11-03-2017, 22:22 door Anoniem
https://www.virustotal.com/nl/file/dc02e26223e3a019f67a20e97e8219b64ebdbe34ca12107ce89cc167d85c919b/analysis/

SHA256: dc02e26223e3a019f67a20e97e8219b64ebdbe34ca12107ce89cc167d85c919b
Bestandsnaam: factuur23928-0826718.zip
Detectieverhouding: 9 / 57
Datum van analyse: 2017-03-08 18:34:11 UTC (3 dagen, 2 uur geleden)

Nog steeds een lage detectie van 9 op 57 .
Ziedaar het betrekkelijke nut van de virusscanner.

.
12-03-2017, 12:55 door Anoniem
[sarcasme]
Stap 1: verwijder de ethernet-plug uit uw computer.
Stap 2: vouw een aluminiumfolie-hoedje
Stap 3: blijf ver weg van security.nl voor dit soort topics.
[/sarcasme]

Stap 4: denk in het vervolg na, of ga ook niet uit impuls posten op een forum... hand in eigen borst zegmaar; Al deze info is ook reeds te vinden op het internet, ookal is het de eerste keer dat het bij u is voorgekomen, is het geval simpelweg alles-behalve uniek. Zie dat alsjeblieft in of onderzoek dat eerst. Sta ook stil bij het feit dat u eerst iets opende uit onbekende bron wat vooraf ongecontroleerd is geweest (waarom anders na dat venster een virusscan uitvoeren?), daar ligt al de crux van het eigenlijke probleem.

[Botte opmerking]
Lijkt computerhulp ook niet een doeltreffender forum in plaats van security.nl? Wij hebben (oprecht) weinig interesse in gehannes van mensen. Dat komt op meer fora voor, maar dit is pur-sec geen beveiligings-topic gezien het uw eigen menselijke fout betreft. Ook een herhaaldelijk onderwerp in de computerwereld.
[/Botte opmerking]

Desalniettemin;
Stap5: Probeer bij een hulpvraag uw info ook zelf te controleren; een korte blik op de info die u meegeeft had kunnen ingeven dat sommige delen van die info ons niet veel kan vertellen.
(Als u dat wel had vermoedt; waar baseerde u die aanname op?)
Ik heb het dan als voorbeeld over de programmatuurnamen met herhaaldelijke datum daar achter, van die actuele dag. Waar is dat op gebaseerd of anderszijds waarom geeft u niet mee waarvandaan u die info heeft gehaald zodat we nog kunnen pogen volgen/interpreteren wat u daarmee probeert te vertellen? Dus niet dat u niet de programmanamen had hoeven meegeven en dat die zondermeer nutteloos zouden zijn; waarom geeft u een herhaaldelijke datum mee die tevens hetzelfde is als de dag van posten zonder aan te geven waarom dat er bij staat?

En dan kom ik op de echte reden dat ik zelf dit soort topics schuw en zelden überhaupt reageer;
De poster is gebaseerd op paniek binnengekomen en vergeet door of de paniek of actuele desinteresse afgezien van de paniek zelve om de info die ze meegeven bij de vraag op zijn minst te controleren op bruikbaarheid. Dit oogt (m.i.) lui/onzorgvuldig.
Even eerlijk, even kort door de bocht, maar zo komt dat (feitelijk) op mij wel over.

Waarom die hufterige gedachte?
- De situatie is ontstaan door een onvoorzichtige handeling
- De vraag wordt gesteld zonder het meegeven van eigenlijk bruikbare informatie, wat het onaannemelijk maakt dat er al enig onderzoek is gedaan naar het probleem en de tekenen die ingeven dat het een probleem is.
- Na de onvoorzichtige handeling wordt ineens van alles aan stappen ondernomen, zonder eerst zekerheid te stellen op de tekenen waar u op basis van bent gaan handelen. Dit is bijna te zien als een preventieve uitwijkmaneuvre maken met de auto omdat u met de ogen knipperde.
- Als het openen van de zip namelijk een infectie zou veroorzaken, zou dat bij een heropening geen dubbele infectie moeten veroorzaken. Wat dat betreft is voorkomen dat dat bestand ooit geopend zou worden een belangrijkere opgave (en zo ook preventief scannen)

Niet dat paniek onterecht is, maar om er zo direct op te handelen en zo veel aannames te maken zonder eerst terug te gaan en de info waar u de aannames op baseert te controleren is kortweg onwijs. Eigenlijk wat op 10-03-2017, 22:54 door een andere anonieme poster ook mooi weergegeven wordt.
12-03-2017, 16:00 door [Account Verwijderd]
U anoniem, 12:55 uur,

M.b.t uw post: Ter introspectie: Bezit u een motorvoertuig èn heeft u weinig toegespitste theoretische/praktische kennis dienaangaande naast het ingevolge het behalen van een rijvaardigheidsbewijs, vereiste dus veronderstelde onder alle omstandigheden beheersen van het motorvoertiuig?

Zo ja, dan spreek ik overtuigend de hoop uit dat u, indien u panne krijgt op eenzelfde wijze uitgebreid te woord wordt gestaan door de ingeseinde hulpdiensten.

ps.

leedvermaak mijnerzijds bij voorbaat? JA! En van ganserharte.
12-03-2017, 16:54 door Erik van Straten
12-03-2017, 12:55 door een anonieme troll: [...]
Lijkt computerhulp ook niet een doeltreffender forum in plaats van security.nl? Wij hebben (oprecht) weinig interesse in gehannes van mensen
[...]
Naast dat ik het eens ben met Aha, vind ik (oprecht) dat jij jouw pathetische en langdradige mening niet namens "wij" mag en kan uitspreken.

Jammer ook dat de moderator zo'n bijdrage, die, in tegenstelling tot de bijdrage van de TS, geen ruk met security te maken heeft, doorlaat. Met het risico serieuze vragenstellers weg te jagen en in te ruilen voor dit soort junk.
12-03-2017, 17:12 door Anoniem
Door Erik van Straten: ...

Jammer ook dat de moderator zo'n bijdrage, die, in tegenstelling tot de bijdrage van de TS, geen ruk met security te maken heeft, doorlaat. Met het risico serieuze vragenstellers weg te jagen en in te ruilen voor dit soort junk.

Dat gold ook voor deze bijdrage van
" Gisteren, 18:42 door Anoniem "
die onnodig lang quotet, vervolgens helemaal niet ingaat op wat er gesteld wordt en lukrake onzin beweert om maar discussie uit te lokken.

De reactie van Aha doet niets om eea weer ontopic te krijgen of getroll te bestrijden, integendeel het lokt verdere off topic discussie verder uit.

Topic's waarin Mac OS X security wordt besproken moeten en zullen getorpedeerd worden en het rare is dat dat simpel voorkomen kan worden omdat er al op anieme reacties gemodereerd wordt.
12-03-2017, 19:55 door [Account Verwijderd]
Door Anoniem:
Door Erik van Straten: ...

Jammer ook dat de moderator zo'n bijdrage, die, in tegenstelling tot de bijdrage van de TS, geen ruk met security te maken heeft, doorlaat. Met het risico serieuze vragenstellers weg te jagen en in te ruilen voor dit soort junk.

Dat gold ook voor deze bijdrage van
" Gisteren, 18:42 door Anoniem "
die onnodig lang quotet, vervolgens helemaal niet ingaat op wat er gesteld wordt en lukrake onzin beweert om maar discussie uit te lokken.

De reactie van Aha doet niets om eea weer ontopic te krijgen of getroll te bestrijden, integendeel het lokt verdere off topic discussie verder uit.

Topic's waarin Mac OS X security wordt besproken moeten en zullen getorpedeerd worden en het rare is dat dat simpel voorkomen kan worden omdat er al op anieme reacties gemodereerd wordt.

Daar is het gezeur over OSX torpederen weer.

Dan verwijs ik je naar een bijdrage van mij in het topic https://www.security.nl/posting/506524/Super+2e+hands+Mac-Deals!+%28dankzij+Mozilla%29 waar ik een positieve reactie krijg omdat ik iemand met OSX 10.7 op weg help.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.