1

Tema: SecureMac identifies first ARDAgent-based trojan

Bueno como dice el titulo , un nuevo troyano...


http://www.tuaw.com/2008/06/19/securemac-identifies-first-ardagent-based-trojan/   



les dejo a url,  tengan cuidado y recuerden ... sistema seguro... no existe tongue




Salu2,
PoohMac

There are 10 types of people in the world: Those who understand binary, and those who don't...

“Los videojuegos no afectan a los niños,es decir; si pac-man nos hubiera afectado de niños, ahora estariamos todos moviendonos por habitaciones oscuras, tragando pastillas mágicas y escuchando música repetitiva.”  Kristian Wilson, Nintendo, Inc, 1989

2

Re: SecureMac identifies first ARDAgent-based trojan

Bueno, a ver que revuelo causa, no sea cosa que sea otra falsa alarma que poco más tenía que estar nublado con Júpiter alineado a Venus para que una máquina con OS X quede vulnerable.

MacBook Pro Retina 15" Touch Bar + Thunderbolt Display 27" + Aluminum Wireless Keyboard + iPhone 6 + iPad Wi-Fi 64GB + Newton 100
"Iguana iguana Powersurgius"

3

Re: SecureMac identifies first ARDAgent-based trojan

Es verdad, mira si es como la Kalashnikov... a mi nunca me mato una y no conozco nadie que se haya muerto a raíz de ella sad
debe ser recomplicado que te maten con eso, además hay que conseguirla y saber usarla y tener punteria.. no se por que dicen que es el arma de fuego que más victimas a causado en la historia de la humanidad.. para mi son todo mentiras x(

tengo la esperanza que los "orgánico" pese a sus chasis blandos, sus piezas no intercambiables, sus bugs autodestructivos y sus problemas de comunicación, desarrollen en algún momento inteligencia propia

UGONU Member

4

Re: SecureMac identifies first ARDAgent-based trojan

Cin escribió:

Bueno, a ver que revuelo causa, no sea cosa que sea otra falsa alarma que poco más tenía que estar nublado con Júpiter alineado a Venus para que una máquina con OS X quede vulnerable.

si ojo capas que es un complot contra Apple y en realidad es un tipo que se tomo la molestia de escribir un articulo, relacionarlo con otros articulos y nada mas, es mas no seran de alguna empresa de antivirus mmm... y no se ... esta gente "http://www.securemac.com/applescript-tht-trojan-horse.php" es seria? digo los de securemac? o capas que es una organizacion...


como sea no esta de mas, en mi opinion como lo dije varias veces "seguro esta con los peirano y no en las caiman" asi que  no viene mal cuidarse un poco.



Salu2,

wink

There are 10 types of people in the world: Those who understand binary, and those who don't...

“Los videojuegos no afectan a los niños,es decir; si pac-man nos hubiera afectado de niños, ahora estariamos todos moviendonos por habitaciones oscuras, tragando pastillas mágicas y escuchando música repetitiva.”  Kristian Wilson, Nintendo, Inc, 1989

5

Re: SecureMac identifies first ARDAgent-based trojan

big_smile

MacBook Pro Retina 15" Touch Bar + Thunderbolt Display 27" + Aluminum Wireless Keyboard + iPhone 6 + iPad Wi-Fi 64GB + Newton 100
"Iguana iguana Powersurgius"

6

Re: SecureMac identifies first ARDAgent-based trojan

Bueno, a cruzar los dedos y estar muy atentos a lo que se baje de la web, especialmente Applescripts, esperemos que Apple nos dé un "Security Update" pronto.

Este "Trojano" es fuerte...  sad

7 (editado por macpotok 02.07.2008 14:08:26)

Re: SecureMac identifies first ARDAgent-based trojan

Acá explican formas/workarounds para evitar ser afectados por este troyano:

http://www.tuaw.com/2008/06/19/ardagent-setuid-allows-root-access-but-theres-an-easy-fix/
http://www.tuaw.com/ardfix/

Para poder activar este troyano el atacante debe estar loguado local o remotamente en el equipo víctima, o convencer de alguna forma al usuario de que ejecute el script malicioso.

Mac Pro 12-Core/HT Xeon 3.46 / 80 GB DDR3 /  2 TB SSD M.2 PCIe + 5.5 TB HDD / GTX 680 4 GB Classified/ Blu-Ray SuperDrive / USB3 / iSight FW
MacBook Air 13" / i7 / 8 GB DDR3 / 256 GB SSD / MacBook Air 11" / i5 / 4 GB DDR3 / 128 GB SSD
MacBook 12" / Core m3 / 8 GB LPDDR3 / 256 SSD
iPhone X 256 GB Silver / iPad Air 2 64 GB Wi-Fi+LTE Gold / AirPods
Apple Watch Serie 5 Silver GPS / Airport Extreme & Express / Magic Mouse / Mighty Mouse BT / Alu Keyboard / iPod Video 30 GB / HK SoundSticks II

8

Re: SecureMac identifies first ARDAgent-based trojan

macpotok escribió:

Para poder activar este troyano el atacante debe estar loguado local o remotamente en el equipo víctima, o convencer de alguna forma al usuario de que ejecute el script malicioso.

solo agrego... o utilizar alguno de los bugs de seguridad que permiten ejecutar scripts sobre una sesión abierta, o camuflar la ejecución del script dentro de otra valida ( como el update de una aplicación, supongamos QT )

tengo la esperanza que los "orgánico" pese a sus chasis blandos, sus piezas no intercambiables, sus bugs autodestructivos y sus problemas de comunicación, desarrollen en algún momento inteligencia propia

UGONU Member

9 (editado por macpotok 02.07.2008 15:26:23)

Re: SecureMac identifies first ARDAgent-based trojan

Respecto a lo primero, estoy de acuerdo pero según entiendo justamente este troyano una vez instaldo permite ejecutar scripts sobre una sesión abierta, por lo cual se me plantea el enigma del huevo o la gallina. (para que instalar el troyano si ya tengo el control sobre la sesión abierta).

Lo de camuflar el script creo que cae dentro de la categoría convencer al usuario para que de alguna forma ejecute el script, ya sea mediante una actualización o una aplicación o una ejecución de algo que parece ser inofensivo.

Mac Pro 12-Core/HT Xeon 3.46 / 80 GB DDR3 /  2 TB SSD M.2 PCIe + 5.5 TB HDD / GTX 680 4 GB Classified/ Blu-Ray SuperDrive / USB3 / iSight FW
MacBook Air 13" / i7 / 8 GB DDR3 / 256 GB SSD / MacBook Air 11" / i5 / 4 GB DDR3 / 128 GB SSD
MacBook 12" / Core m3 / 8 GB LPDDR3 / 256 SSD
iPhone X 256 GB Silver / iPad Air 2 64 GB Wi-Fi+LTE Gold / AirPods
Apple Watch Serie 5 Silver GPS / Airport Extreme & Express / Magic Mouse / Mighty Mouse BT / Alu Keyboard / iPod Video 30 GB / HK SoundSticks II

10

Re: SecureMac identifies first ARDAgent-based trojan

macpotok escribió:

Respecto a lo primero, estoy de acuerdo pero según entiendo justamente este troyano una vez instaldo permite ejecutar scripts sobre una sesión abierta, por lo cual se me plantea el enigma del huevo o la gallina. (para que instalar el troyano si ya tengo el control sobre la sesión abierta).

Si, parece ridículo pero es una técnica muy común. La sobreinfección te asegura tener más de una puerta de entrada y te previene de que el usuario se logre librar un troyan. Supongamos que tenes un usuario con un troyano A instalado, al salir el troyano B lo primero que se hace es reinfectar con B, así cuando salga el parche que inhabilita a A igual existe una puerta de entrada. big_smile

Tambien se usa la sobreinfección en el caso que el troyano A no sea de tu propiedad pero si puedas acceder a él. Por ejemplo cuando se ataca mediante portscan posiblemente encuentres y puedas usar un troyano colocado por algún intruso incauto y con escasa ética, de esta forma se puede colocar un nuevo troyano especifico y ejecutar código personalizado.

macpotok escribió:

Lo de camuflar el script creo que cae dentro de la categoría convencer al usuario para que de alguna forma ejecute el script, ya sea mediante una actualización o una aplicación o una ejecución de algo que parece ser inofensivo.

Si si, totalmente de acuerdo. Solo lo nombre a modo de identificar la técnica. Es que cuando se habla de engañar al usuario, en ocasiones algunos usuarios tienden a creer que es del tipo: te llega un mail diciendo que pinches en tal link. Mi intención era solo que se observara que cuando aparecen advertencias de que es posible redireccionar la central de descargas de Apple en algunos productos, lo que esta en juego no es solo el riesgo de quedarse sin poder descargar la última versión de tal o cual aplicación.

tengo la esperanza que los "orgánico" pese a sus chasis blandos, sus piezas no intercambiables, sus bugs autodestructivos y sus problemas de comunicación, desarrollen en algún momento inteligencia propia

UGONU Member

11

Re: SecureMac identifies first ARDAgent-based trojan

El problema con la vulnerabilidad en el "ARDAgent" quedó resuelto en el Security Update 2008-005

http://support.Apple.com/kb/HT2647

.