Menu

3 juni 2010

NieuwsJe Mac controleren op “OSX/OpinionSpy” spyware

Op het internet circuleert een waarschuwing dat er spyware voor de Mac actief is. Het betreft de spyware “OSX/OpinionSpy” die op je Mac terecht kan komen wanneer je de applicatie “MishInc FLV to MP3” gebruikt of een screensaver van “7art-screensavers” installeert op je Mac. Deze screensavers zijn te herkennen aan de benaming “…… Clock ScreenSaver v.2.8”.

De “OSX/OpinionSpy” spyware registreert al je gebruikers activiteiten (dus ook het intypen van gebruikersnamen + wachtwoorden) en stuurt deze informatie naar remote servers ergens in een heel ver land. Voor deze communicatie wordt gebruik gemaakt door de spyware van tcp poort 8254.

Hoewel de kans erg klein is dat je Mac besmet is geraakt kan je toch controleren of de spyware aanwezig is op je mac.

Door middel van OS X Terminal kan je heel eenvoudig controleren of er gebruik wordt gemaakt van tcp poort 8254, dit doe je door middel van het onderstaande commando:

lsof -i tcp:8254

Wanneer er na het uitvoeren van het commando geen informatie wordt getoond (zoals in het voorbeeld) dan is “OSX/OpinionSpy” niet aanwezig op je Mac.

Ter extra controle kan je ook door middel van de Activiteitenweergave-applicatie controleren of de spyware actief is, je vind deze standaard OS X applicatie terug in de map ~/Programma’s/Hulpprogramma’s.

Na het starten van de Activiteitenweergave-applicatie selecteer “Alle processen” (1) en type bij het filter “PremierOpinion” (2). Als er geen resultaat verschijnt (3) is de spyware niet aanwezig op je Mac.

Mocht je toch last hebben van de spyware dan kan je deze als volgt verwijderen:

Ga in OS X Finder naar de Programma’s map (shift+cmd+A) en zoek de map “PremierOpinion” en start in de map het Uninstall script.

Mocht het bovenstaande niet lukken sleep dan de gehele map “PremierOpinion” in de prullenmand en leeg deze met Option/Alt ingedrukt, je beheerder wachtwoord is in dat geval noodzakelijk om de prullenmand te legen.




Gerelateerde tips:




Reacties


  • matthias 3 juni 2010 om 15:36

    gek. ik heb wel die clock screensaver maar zie geen activiteit op die poort en ook geen bij activiteitenweergave. Mazzeltje?

  • iSite 3 juni 2010 om 16:27

    Ik heb die klok ook, maar voor de zekerheid ga ik hem toch wel wegdoen hoor…

  • patricia 3 juni 2010 om 20:56

    Ik ben gelukkig vrij van spyware-troep.
    desondanks….bedankt voor de uitleg richard!

  • Edgar 4 juni 2010 om 10:29

    Slechte spyware hoor, die met een uninstall script geleverd wordt. Ik heb onder Windows spyware gezien dat zich heeeeel moeilijk laat verwijderen! Laten we hopen dat het nog lang duurt voor de makers daarvan zich gaan richten op OS X.

  • Coosje van Schie 4 augustus 2010 om 14:18

    Wie kan mij uitleggen waarom er in mijn activiteitenweergave ‘Root’ te zien is terwijl ik die niet heb ingeschakeld…? Ben volkomen onbekend met mac uberhaupt computers, maar na 4 x een gecrashde laptop, ben ik heel oplettend;-))

  • Pepijn 4 augustus 2010 om 15:45

    Welke procesnaam staat er bij de root gebruiker?
    Je kunt sowieso even op deze pagina op de Apple site kijken: http://support.apple.com/kb/HT1528?viewlocale=nl_NL daar staat onder andere hoe je de root aan kunt zetten etc.

  • Marcel Kraan 9 mei 2011 om 8:24

    is scan liever manual:

    netstat -an |grep LISTEN

    tcp4 0 0 *.88 *.* LISTEN
    tcp6 0 0 *.88 *.* LISTEN
    tcp4 0 0 *.631 *.* LISTEN
    tcp6 0 0 *.631 *.* LISTEN
    tcp4 0 0 *.23052 *.* LISTEN
    tcp4 0 0 127.0.0.1.3233 *.* LISTEN
    tcp4 0 0 *.64001 *.* LISTEN
    tcp4 0 0 127.0.0.1.64000 *.* LISTEN
    tcp4 0 0 *.7348 *.* LISTEN
    tcp4 0 0 *.7347 *.* LISTEN
    tcp4 0 0 *.3234 *.* LISTEN
    tcp4 0 0 127.0.0.1.47807 *.* LISTEN
    tcp4 0 0 *.22 *.* LISTEN
    tcp6 0 0 *.22 *.* LISTEN
    tcp4 0 0 *.139 *.* LISTEN
    tcp4 0 0 *.445 *.* LISTEN
    tcp4 0 0 127.0.0.1.631 *.* LISTEN
    tcp6 0 0 ::1.631 *.* LISTEN

    Ik heb bewust services aangezet..
    maar nu kan je zelf kijken wat iets is.

    telnet localhost 631
    Dan krijg je output.. in dit geval van de cups printserver

    Destandaard uitleg over welke poorten waar draaien
    http://support.apple.com/kb/ts1629

    in /etc/services zie je ook een en ander over poorten staan

Een reactie toevoegen: