Trojansk hest lammer Mac

Et tilsynelatende nyttig program kalt "Graphics Accelerator" som endel Mac-brukere har lastet ned fra det de populære Info-Mac-arkivene, viser seg å være meget destruktivt - en såkalt trojansk hest.

Nettstedet Macintouch fikk meldinger fra en rekke Mac-brukere som var rammet av problemet i løpet av foregående helg. Programmet utga seg for å være et nytteprogram, og følgende stod å lese om programsnutten på Info-Mac i henhold til Macintouch.

"From: geronymakis@ath.forthnet.gr

         Subject: Graphics Accelerator.sit.hqx

         Enclosed you will find my custom Graphics Accelerator that

         helps PPC macs speed graphics programs up that use 68k code.

         It uses a custom blitting subroutine, and it should work on

         PPC apps as well. Please include it in your Graphics/Utilities

         directory. Thank you very much,

         --

         AVRANTINHS TASOS"

Det viser seg at programmet ikke er et nytteprogram, snarere en såkalt trojansk hest. I motsetning til enkelte typer virus sprer slike programmer seg ikke til andre maskiner, men de kan volde stor skade på infiserte maskiner. Programmet er typisk gjemt i eksekverbar kode som brukere laster ned - slik som det skjedde med "Graphics Accelerator."

Koden i "Graphics Accelerator" modifiserer applikasjonene på den infiserte Mac-en og fører blant annet til at menyene i applikasjonene blir klusset med. Programmet oppretter en såkalt "Extension" som infiserer andre applikasjoner, og denne er det svært vanskelig å bli kvitt.

I henhold til en innsender på Macintouch sin responsseksjon, inneholder den trojanske hesten en tidsinnstilt programvarebombe som "går" av mellom 6 og 7 om morgenen den 6. og den 12. hver måned. Da slettes systematisk alle ikke-eksekverbare filer på maskinen.

Viruset er meget dyktig til å unngå detektering av antivirusprogrammer ved å mutere hver gang det replikeres samt å bruke en "Extension" som laster før antivirus-"Extensions" slik at det unngår antivirusmonitorer.

Etter det digi.no erfarer oppdages ikke viruset per i dag av antivirusprogramvare for Mac. News.com rapporterer at Symantec ber brukere rapportere om viruset til selskapets nettsted - Symantec AntiVirus Research Center (se lenke i margen til høyre) så selskapet kan utvikle en fiks.

På nettstedet Macintouch (se lenke i høyre marg) finnes informasjon om skadeprogrammet "Graphics Accelerator" blant annen med forslag til hvordan infiserte brukere man desinfisere sin maskin.

digi.no hører gjerne fra norske Mac-brukere som selv har opplevd problemet eller kjenner til løsninger.

Til toppen