Tek.no

Artikkel

Dette er noen av tidenes verste Mac-virus

Macer er slettes ikke fri for skadevare.

Shutterstock/ Albert Ziganshin
Anders Brattensborg Smedsrud

De verste virusene

For inntil et par år siden hevdet Apple på nettsidene sine at Macene deres var helt immune mot virus som ellers rammer Windows-maskiner. Nå for tiden lover de bare at operativsystemet deres er «bygget for å være sikkert». Det spørs likevel om ikke påstanden deres den gang var litt for god til å være sann. Det skal vi se nærmere på når vi tar for oss skadevaren som motbeviste ett av Apples tidligere sterkeste argumenter for å kjøpe Mac.

Et diktende virus

I 1981 ble faktisk Apples Macintosh II den første datamaskinen noen sinne til å bli rammet av et virus utenfor et forskningslaboratorium. «The Elk Cloner», som viruset ble kalt, spredte seg via disketter og var en spøk signert 15 år gamle Rich Skrenta fra Pennsylvania. Etter at oppstartssektoren på Mac-ens operativsystem var infisert, ventet viruset til den femtiende gangen et spill ble kjørt. Da presenterte et dikt seg på skjermen, og her er et utdrag:

Elk Cloner: The program with a personality
It will get on all your disks
It will infiltrate your chips
It will stick to you like glue
It will modify RAM too

Som Skrenta var det mange i dataalderens barndom som laget datavirus bare for å vise seg frem eller å tulle med folk, ikke for å gjøre skade. Senere har man som alle vet gått bort i fra dette. I dag er det pengene som rår, og siden PC-avhengigheten og Internett-bruken formelig har eksplodert de siste tiårene har produksjon av virus blitt en ganske lønnsom aktivitet. Se bare for deg verdien av å sette IT-systemet til den konkurrerende bedriften ute av drift i en uke, eller desperasjonen man kan sette i en befolkning ved å lamme strømtilførselen.

Med årene kom og gikk en del skadevare for Mac-plattformen, og selv om omfanget slettes ikke har kunnet måle seg med infeksjonene Windows-baserte PC-er har sett, har Apples maskiner i ny og ne fått noe å tygge på. Blant annet i 2007 da det skrupuløse DNSChanger ble sluppet på Jobs maskiner.

En flau affære

I 2007 begynte den slue DNSChanger å spre seg. Trojaneren brydde seg filla om du hadde en Windows-maskin eller en Mac, og klarte å komme seg inn på omtrent en halv million datamaskiner før det ble stoppet.

En avart av DNSChanger, kalt RSPlug, skjulte seg selv som en videokodek. Denne skulle la deg spille av videoklipp på sider med pornografisk innehold bare du lastet den ned.

Når «kodeken» hadde kommet seg ned på maskinen konsentrerte den seg derimot mest av alt om å skape kvalm. Førsteprioriteten var å deaktivere antivirus-programvare og endre DNS-innstillingene slik at nettleseren kunne redirigeres til nettsteder med type innhold for de over 18 år. Dette førte til både brysomme og hyppige sprettoppvinduer, foruten stadige forsøk på lure ut av deg kredittkortinformasjon bare du forsøkte å liste deg en tur inn på Google eller Aftenposten.

Det at DNS-adressen din ble endret ledet også til at all Internettrafikken din ble ledet gjennom servere som bakmennene i Estland hadde full kontroll over. Slik fikk det skure og gå i fire år, helt til FBI fikk snust opp banden som hadde kidnappet nettlinjene til folk. De mange hundre tusen som allerede var rammet av DNSChanger var på det tidspunktet imidlertid helt avhengige av deres DNS-servere for å få tilgang til noe som helst på Internett. Derfor måtte FBI sette opp sine egne rene servere som erstatning for de infiserte.

Et års tid senere, den 9. juli 2012, fant FBI imidlertid ut at de ikke lenger ville leke Internettleverandør for de som gikk på limpinnen, så de pakket med seg serverne sine og dro.

Det spørs hvor mange som hadde ringt Internettreparatøren sin om de visste hvorfor de med ett mistet Internett den samme dagen. Reparatørene hadde selvsagt fått med seg hva som skulle skje og fikk seg nok både en god latter og en enkel feilsøkingsjobb på mange av dagens oppdrag.

Brakte Apple til korset

Selv om mange Macbrukere har vokst opp med tanken om at plattformen er helt virusfri, var det nettopp denne oppfatningen MacDefender forsøkte å endre. Viruset snek seg ned på Macer over hele verden gjennom et sprettoppvindu i nettleseren. Det fortalte Mac-brukere at de allerede hadde ondsinnede virus på maskinen sin.

Dette sprettoppvinduet var skreddersydd for Macbrukere og fortalte at maskinen var infisert. (Foto: Microsoft)

For å komme disse til livs trengte de bare å laste ned et program som enten var kalt MacDefender, Mac Guard eller Mac Shield. Det å bli fri for skadevare skulle bare koste 59 dollar, men ved å gå på limpinnen og kjøpe en lisens ga de derimot bort både epostadressen sin og kredittkortinformasjon, og ble absolutt ikke kvitt elendigheten.

Nærmest for å understreke hvor dumme de som gikk på svindelen var ble nemlig nettleseren satt til å stadig føre Mac-brukerne innom diverse pornografisk nettsider, etter at de hadde gitt fra seg informasjon som potensielt lot bakmennene tappe kontoene deres.

Det mest interessante med MacDefender var likevel ikke at det lagde kvalm, men måten Apple reagerte på da skadevaren herjet maskinene og kundene deres.

Selskapet fikk i løpet av tre uker over 60 000 henvendelser til sin supporttelefon om MacDefender, men samtlige opprørte kunder ble kontant avvist. Kundeveilederne var nemlig instruert til å ikke hjelpe kundene sine for å unngå at de begynte å stole for mye på telefonstøtte fremfor antivirus-programmer. Det er litt interessant fordi Apple på daværende tidspunkt fortsatt hevdet at plattformen deres ikke kunne få virus, og at brukerne slettes ikke trengte noe antivirus-program.

Etter en måned i det fri måtte Apple likevel krype til korset og slippe en sikkerhetsfiks som tok hånd om MacDefender, etter at flere hundretusen brukere hadde fått maskinene sine infisert.

Rakte nese

BlackHole Rat åpnet en bakdør til maskinen, noe som ga angripere fri tilgang til OS X. Angriperene kunne blant annet legge ut tekstfiler på skrivebordet, åpne nettadresser i bakgrunnen, kjøre kommandoer, og gjennomføre ulike forsøk på å få tak i kredittkortnummeret ditt og andre sensitive data gjennom sprettoppvinduer. Videre kunne skadevaren slå av Macen uten forvarsel, selvsagt til stor frustrasjon.

Den sorte rotten ble spredd via nedlasting av tilsynelatende uskyldige programmer og ga følgende beskjed på skjermen når den våknet:

I have infected your Mac Computer. I know, most people think Macs can't be infected, but look, you ARE Infected! I have full controll over your Computer and i can do everything I want, and you can do nothing to prevent it.
Im a very new Virus, under Development, so there will be much more functions when im finished.

Et BETA-virus eller ei, det er ikke til å stikke under en stol at mange fra Windows-leieren nok fikk det litt moro på Mac-brukernes bekostning i 2011, da skadevaren herjet som verst.

En milepæl

Flashback lurte seg enten inn på Macen som en Flashinstallasjon, eller gjennom en svakhet i Java.

600 000 Macer ble infisert av en variant av trojaneren Flashback i 2012, noe som på tiden utgjorde nesten én prosent av alle verdens Macer. Til sammenligning berørte datidens verste infeksjonen av Windows, Conficker, rundt 7 millioner maskiner, noe som kun utgjorde omtrent 0,7 prosent av alle verdens Windows-maskinene på tidspunktet.

Flashback fantes i to varianter. En av dem utga seg for å være en Flash-installasjon og krevde brukerens passord for å installeres. Denne andre versjonen benytter seg av en Java-sårbarhet, og ble installert automatisk i bakgrunnen når du besøkte en av over fire millioner nettsider som var infiserte.

Så fort trojaneren fikk innpass på maskinen din oppdaterte den nettverksbaserte programmer som Skype og MSN, og lette etter informasjon som brukernavn og passord. Når du var innom spesifikke domener som Google, Yahoo, Paypal og selvfølgelig nettbanker, sendte den alle tastetrykkene dine til bakmennene. De to Flashback-variantene ble på tiden ansett som et av de sterkeste tegnene på at Macens dager som virusfri var over.

Som du kanskje skjønner er du på ingen måte 100 prosent trygg bare fordi du bruker en Mac, men det finnes noen triks for å enkelte beskytte deg litt ekstra:

Les også