Je Mac controleren op “OSX/OpinionSpy” spyware
Op het internet circuleert een waarschuwing dat er spyware voor de Mac actief is. Het betreft de spyware “OSX/OpinionSpy” die op je Mac terecht kan komen wanneer je de applicatie “MishInc FLV to MP3” gebruikt of een screensaver van “7art-screensavers” installeert op je Mac. Deze screensavers zijn te herkennen aan de benaming “...... Clock ScreenSaver v.2.8”.
De “OSX/OpinionSpy” spyware registreert al je gebruikers activiteiten (dus ook het intypen van gebruikersnamen + wachtwoorden) en stuurt deze informatie naar remote servers ergens in een heel ver land. Voor deze communicatie wordt gebruik gemaakt door de spyware van tcp poort 8254.
Hoewel de kans erg klein is dat je Mac besmet is geraakt kan je toch controleren of de spyware aanwezig is op je mac.
Door middel van OS X Terminal kan je heel eenvoudig controleren of er gebruik wordt gemaakt van tcp poort 8254, dit doe je door middel van het onderstaande commando:
lsof -i tcp:8254
Wanneer er na het uitvoeren van het commando geen informatie wordt getoond (zoals in het voorbeeld) dan is “OSX/OpinionSpy” niet aanwezig op je Mac.
Ter extra controle kan je ook door middel van de Activiteitenweergave-applicatie controleren of de spyware actief is, je vind deze standaard OS X applicatie terug in de map ~/Programma’s/Hulpprogramma’s.
Na het starten van de Activiteitenweergave-applicatie selecteer “Alle processen” (1) en type bij het filter “PremierOpinion” (2). Als er geen resultaat verschijnt (3) is de spyware niet aanwezig op je Mac.
Mocht je toch last hebben van de spyware dan kan je deze als volgt verwijderen:
Ga in OS X Finder naar de Programma’s map (shift+cmd+A) en zoek de map “PremierOpinion” en start in de map het Uninstall script.
Mocht het bovenstaande niet lukken sleep dan de gehele map “PremierOpinion” in de prullenmand en leeg deze met Option/Alt ingedrukt, je beheerder wachtwoord is in dat geval noodzakelijk om de prullenmand te legen.
| Auteur | Richard IJzermans | |
| Bijgewerkt | 12/12/2014 18:56 | |
| Categorie | macOS, Nieuws | |
Reacties
is scan liever manual:
netstat -an |grep LISTEN
tcp4 0 0 *.88 *.* LISTEN
tcp6 0 0 *.88 *.* LISTEN
tcp4 0 0 *.631 *.* LISTEN
tcp6 0 0 *.631 *.* LISTEN
tcp4 0 0 *.23052 *.* LISTEN
tcp4 0 0 127.0.0.1.3233 *.* LISTEN
tcp4 0 0 *.64001 *.* LISTEN
tcp4 0 0 127.0.0.1.64000 *.* LISTEN
tcp4 0 0 *.7348 *.* LISTEN
tcp4 0 0 *.7347 *.* LISTEN
tcp4 0 0 *.3234 *.* LISTEN
tcp4 0 0 127.0.0.1.47807 *.* LISTEN
tcp4 0 0 *.22 *.* LISTEN
tcp6 0 0 *.22 *.* LISTEN
tcp4 0 0 *.139 *.* LISTEN
tcp4 0 0 *.445 *.* LISTEN
tcp4 0 0 127.0.0.1.631 *.* LISTEN
tcp6 0 0 ::1.631 *.* LISTEN
Ik heb bewust services aangezet..
maar nu kan je zelf kijken wat iets is.
telnet localhost 631
Dan krijg je output.. in dit geval van de cups printserver
Destandaard uitleg over welke poorten waar draaien
http://support.apple.com/kb/ts1629
in /etc/services zie je ook een en ander over poorten staan
Wie kan mij uitleggen waarom er in mijn activiteitenweergave ‘Root’ te zien is terwijl ik die niet heb ingeschakeld…? Ben volkomen onbekend met mac uberhaupt computers, maar na 4 x een gecrashde laptop, ben ik heel oplettend;-))
Welke procesnaam staat er bij de root gebruiker?
Je kunt sowieso even op deze pagina op de Apple site kijken: http://support.apple.com/kb/HT1528?viewlocale=nl_NL daar staat onder andere hoe je de root aan kunt zetten etc.
Slechte spyware hoor, die met een uninstall script geleverd wordt. Ik heb onder Windows spyware gezien dat zich heeeeel moeilijk laat verwijderen! Laten we hopen dat het nog lang duurt voor de makers daarvan zich gaan richten op OS X.
Ik ben gelukkig vrij van spyware-troep.
desondanks….bedankt voor de uitleg richard!
Ik heb die klok ook, maar voor de zekerheid ga ik hem toch wel wegdoen hoor…
gek. ik heb wel die clock screensaver maar zie geen activiteit op die poort en ook geen bij activiteitenweergave. Mazzeltje?