Een trojan is software die aan de gebruiker belooft een bepaalde actie uit te voeren, maar in werkelijkheid iets anders doet. Zo belooft het OSX.RSPlug.A trojan dat de gebruiker na installatie gratis pornovideo's kan bekijken, maar wordt in werkelijkheid een phishing tool geïinstalleerd.

Intego
In 2004 meldde Intego ook al een trojan voor Mac OS X genaamd "MP3Virus.Gen". Achteraf bleek echter dat het bedrijf slechts een proof-of-concept had bedacht, maar dat de software niet daadwerkelijk bestond.

Critici zeiden vervolgens dat Intego angst probeerde op te wekken bij Macgebruikers door onjuistheden en onduidelijkheden (FUD) te verspreiden, zodat meer anti-viruspakketten zouden worden verkocht.

Leap A
In 2006 ontdekte een ander securitybedrijf, Sophos, de OSX/Leap-A trojan. Het bestond uit een UNIX shell-script dat verpakt was als een archief met mooie screenshots van Apple's nieuwe besturingsysteem.

Deze trojan werd ook Oompa Loompa genoemd.

Het bestand probeerde bestanden te verwijderen van het systeem en zou door gebruikers zelf verspreid moeten worden omdat iedereen op dat moment interesse had in de nieuwste screenshots van Mac OS X.

Uitgangspunt was dat Macgebruikers via iChat en Mail de "plaatjes" aan elkaar zouden doorsturen, maar dit gebeurde slechts mondjesmaat en de trojan stierf een vroege dood.

OSX.RSPlug.A
De OSX.RSPlug.A trojan die gisteren ontdekt werd verleid de gebruiker om een videocodec te installeren om gratis porno te kunnen bekijken.

In plaats daarvan wordt iets heel anders op de Mac geïnstalleerd: het programma maakt een aanpassing in de DNS entries van de Mac. Hiervoor moet de gebruiker wel eerst een installer opstarten en het admin wachtwoord opgeven.

De nieuwe DNS entry zorgt ervoor dat de gebruiker naar phishing sites wordt omgeleid zodra men probeert te internetten.

Ook wordt een crontab entry geïnstalleerd, waarmee de foute DNS instellingen meteen weer worden teruggezet voor het geval de gebruiker handmatig de DNS instellingen zou herstellen.

Kritiek
De gisteren ontdekte trojan is ook onderwerp van kritiek. Intego heeft bijvoorbeeld geen URL's gepost van websites die de nieuwe trojan installeren.

Ook is de disk image die de installer bevat niet gepubliceerd, noch een proof-of-concept code.

Desondanks moet het gevaar van trojans niet door Macgebruikers worden weggewuifd; geen enkel besturingssysteem is goed te wapenen tegen dergelijke software.

De gebruiker laat zich immers verleiden door een bepaalde belofte, en geeft zelf toestemming voor installatie.

Bron: divers.
Meer over OSX.RSPlug.A: MacWorld.com.

Dit artikel is meer dan een jaar oud en daarom gearchiveerd.
- Reacties op dit artikel worden niet meer getoond.