LET OP! Transmission 2.90 bevat ransomware - Macs en software

maandag 7 maart 2016 00:25

Acties:

+2 Henk 'm!

Topicstarter

Zie: http://nos.nl/l/2091151

Gebruik je Transmission?

Controleer dan zo snel mogelijk welke versie je draait. De mogelijk besmette versie is 2.90, alleen mensen die deze versie via de site van Transmission gedownload hebben lijken getroffen te zijn. Er is inmiddels een update beschikbaar, 2.91. Het advies is om deze gelijk te installeren.

De makers adviseren vervolgens om via de 'Activiteitenmonitor' (te vinden via de zoekfunctie, Spotlight) te controleren of het proces "kernel_service" draait. Dit kun je checken door in deze naam in het zoekvenster in te voeren. Als deze aanwezig is, sluit deze dan via 'forceer stop'.

Als je backups maakt via Time Machine, is het vervolgens het verstandigst om een backup terug te zetten van voor het moment dat je versie 2.90 gebruikte. Let er wel op dat je bestanden die er sindsdien zijn bijgekomen even apart opslaat.

Zelf zat ik gelukkig nog op 2.84, maar kreeg wel direct een popup met rode tekst waaruit de urgentie om te updaten naar 2.92 mocht je op 2.90 zitten duidelijk werd gemaakt.

[ Voor 9% gewijzigd door Whatson op 07-03-2016 00:30 ]

maandag 7 maart 2016 00:36

Acties:

0 Henk 'm!

Whatson

Topicstarter

https://forum.transmissionbt.com/viewtopic.php?t=17834

Volgens deze forum post detecteert Apple het al als Malware

maandag 7 maart 2016 07:26

Acties:

0 Henk 'm!

Misha

Ik had wel 2.90 draaien helaas. Meteen verwijderd van m'n MacBook, ge-update op mijn Mac Mini omdat ik stiekem benieuwd ben of dat het al echt fixed. Kom de processen niet tegen bij de activiteitenmonitor, enkel een kernel_task en iets van een agent.

maandag 7 maart 2016 07:27

Acties:

0 Henk 'm!

CyBeR

💩

Kán ransomware bevatten. Mijn 2.90 had dat niet. Naar het schijnt waren alleen de downloads op de site infected.

Een proces "kernel_task" is normaal, dat is je OS. Die kun je ook niet killen.

[ Voor 62% gewijzigd door CyBeR op 07-03-2016 07:28 ]

All my posts are provided as-is. They come with NO WARRANTY at all.

maandag 7 maart 2016 08:03

Acties:

0 Henk 'm!

GerardVanAfoort

kalm aan

Hier een artikel en reacties van MacRumors http://forums.macrumors.c...ittorrent-client.1959908/

En de link naar Palo Alto Networks voor technische details http://researchcenter.pal...torrent-client-installer/

NRG

maandag 7 maart 2016 08:03

Acties:

0 Henk 'm!

Misha

CyBeR schreef op maandag 07 maart 2016 @ 07:27:
Kán ransomware bevatten. Mijn 2.90 had dat niet. Naar het schijnt waren alleen de downloads op de site infected.

Een proces "kernel_task" is normaal, dat is je OS. Die kun je ook niet killen.

Idd. De instructies hier zijn ook redelijk goed. Geen spoor van die .rtf te zien op beide systemen

maandag 7 maart 2016 10:09

Acties:

0 Henk 'm!

MediQ

Zag dit gisteravond idd op Mac sites verschijnen. Even een samenvatting van het stukje op Palo Alto Networks: alleen mensen die de dmg van versie 2.90 direct vanaf de website hebben gedownload tussen vrijdag 4 maart 20:00 uur en zaterdag 5 maart 4:00 uur (GMT+1) kunnen mogelijk geïnfecteerd zijn. Downloads via third party websites of apps zijn mogelijk ook at risk. Echter, updates via de ingebouwde updater zijn blijkbaar NIET geïnfecteerd geweest.

Als je in die periode Transmission gedownload hebt, dan moet je het volgende checken:

Using either Terminal or Finder, check whether /Applications/Transmission.app/Contents/Resources/ General.rtf or /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf exist. If any of these exist, the Transmission application is infected and we suggest deleting this version of Transmission.
Using “Activity Monitor” preinstalled in OS X, check whether any process named “kernel_service” is running. If so, double check the process, choose the “Open Files and Ports” and check whether there is a file name like “/Users/<username>/Library/kernel_service” (Figure 12). If so, the process is KeRanger’s main process. We suggest terminating it with “Quit -> Force Quit”.
After these steps, we also recommend users check whether the files “.kernel_pid”, “.kernel_time”, “.kernel_complete” or “kernel_service” existing in ~/Library directory. If so, you should delete them.

Verder heeft Apple de definities van de in Mac OS X ingebouwde XProtect geüpdatet om te zorgen dat kernel_service actief geblokkeerd wordt en, zoals in het artikel staat, hebben de ontwikkelaars van Transmission versie 2.92 uitgebracht die de malware actief verwijdert.

[ Voor 5% gewijzigd door MediQ op 07-03-2016 10:28 ]

maandag 7 maart 2016 10:33

Acties:

0 Henk 'm!

Verwijderd

CyBeR schreef op maandag 07 maart 2016 @ 07:27:
Kán Een proces "kernel_task" is normaal, dat is je OS. Die kun je ook niet killen.

Heb ook de kernal_service lopen die ik niet kan stoppen en heb ook de 2.90 geïnstalleerd gehad. (Via intern update niet van de site)
Kan ook de besmette bestanden niet vinden.

Heb de Mac maar ff uitgezet zodat ik er vanmiddag ff naar kan kijken.

[ Voor 17% gewijzigd door Verwijderd op 07-03-2016 10:35 ]

maandag 7 maart 2016 11:55

Acties:

0 Henk 'm!

CyBeR

💩

kernel_service is indicatief aan een probleem. kernel_task niet. Kernel_service moet je kunnen killen, kernel_task niet.

All my posts are provided as-is. They come with NO WARRANTY at all.

maandag 7 maart 2016 15:48

Acties:

0 Henk 'm!

Verwijderd

Nee kon hem niet killen omdat hij onder root draaide en niet onder mijn account.
Maar kunt hem killen via de terminal met sudo killall kernal_service.

Maar dit blijkt niet meer nodig.
Vanmorgen na het nieuws gekeken en toen stond hij erbij en was niet te killen. (toen wist ik de sudo nog niet)
Maar de mac maar uitgezet omdat ik weg moest. Nu ik hem vanmiddag opstarte was hij weg. Ik denk omdat Apple de definities heeft aangepast en deze proces op de zwarte lijst heeft gezet.

verder lijkt m'n mac schoon en zie geen vreemde processen meer lopen.