Linux-Virus (nicht) auf Mac OS X portiert

Felix Rieseberg

̈Öhringer Blutstreifling
Registriert
24.01.06
Beiträge
5.589
Das große Verkaufsargument für Mac OS X, die Sicherheit, steht in letzter Zeit unter scharfer Kritik: Immer wieder werden die warnenden Stimmen laut, dass Mac OS X nicht unverwundbar sei. Auch am Internet Storm Center des SANS-Institutes für Netzwerkverwaltung war man im Alarmzustand, denn den Wissenschaftlern ist ein für Mac OS X portierter Virus zugespielt worden. Der Schädling mit dem Namen RST.B wird zwar von Symantec mit der Gefahrenstufe "Very Low" eingeschätzt, sollte jedoch für Macnutzer einige Gefahren birgen. Besonders interessant: Der "Virus" funktionierte auf den älteren PowerPCs. Bei Linux erkannten 24 von 32 Scannern den Schädling, unter FreeBSD 23 von 32. Die Panik war groß: Unter Mac OS X erkannte kein einziger Scanner den Schädling! Während die MacLife das noch so hinnahm, waren die Kollegen von Heise.de schon verwunderter. Immerhin gibt es sehr wohl Scanner, die auch unter OS X in der Lage sind, diesen Typus von Virus zu erkennen. Das Problem: Der untersuchte "Virus" war lediglich ein nicht infizierter Träger, gewissermaßen eine ungeladene Waffe. Denn die untersuchten IRC-Bots werden zwar sehr oft für den RST.B-Virus genutzt, jedoch war die OS-X-Version frei von irgendwelchen RST.B-Spuren. Ganz interessant: Auch die Linuxvariante, die von 24 Scannern als schädlich eingestuft wurde, zeigte im genaueren Test keine beunruhigenden Auffälligkeiten. Mittlerweile hat Bojan Zdrnja seine Warnungen revidiert: "Nur weil die bösen Jungs es benutzen, ist es selber trotzdem nicht schädlich".

RST.B infiziert ausführbare Dateien und kleinere Programme im "/bin"-Verzeichnis, macht aber nicht mehr als sich mit einigen Chaträumen zu verbinden. Das Problem: Der Virus lauscht auf neue Befehle und kann somit seine Aktionen ändern - von schädlichen Angriffen auf das befallene System bis hin zu Massensendungen von Spammails. Der Mac währe mit RST.B ein so genannter "Bot", ein Computer, der auf die Befehle eines Angreifers horcht und meistens für illegale Aktivitäten genutzt wird. Insgesamt geht man davon aus, dass rund ein Viertel der Computer mit Internetanschluss teil eines Botnetzes sind.

Es bleibt natürlich das Problem, dass theoretisch, unter bestimmten Umständen ein solcher Virus möglich ist. Apple ist über das Problem informiert und soll an einer Lösung arbeiten. Am Ende bleibt jedoch eine viel wichtigeres Fazit: Keine unnötige Panik.
 

Anhänge

  • virus006.jpg
    virus006.jpg
    143,3 KB · Aufrufe: 213

Jumpy

Rheinischer Winterrambour
Registriert
07.01.07
Beiträge
925
Ich sehe das auch ganz entspannt.
Wirklich große Sorgen mache ich mir da nicht.
 

James Grieve

Holländischer Prinz
Registriert
15.04.07
Beiträge
1.866
Noch mach ich mir auch keine Sorgen... Aber wie kann man denn prüfen, ob man das Teil hat? Auch wenn es wohl unwahrscheinlich ist.
 

NoaH11027

Weisser Rosenapfel
Registriert
14.03.06
Beiträge
777
Aber wie kann man denn prüfen, ob man das Teil hat? Auch wenn es wohl unwahrscheinlich ist.
Das ist die eigentlich interessante Frage. Ich meine mein Mac "wohnt" hinter einer Firewall, aber das muss ja nix heißen. Ich würde auch gern nachschauen wollen ob sich da nicht ein (bis jetzt noch harmloser) Parasit eingenistet hat.

NoaH
 

idolum

Pomme au Mors
Registriert
23.11.07
Beiträge
856
Heute sogar einen kleinen Bericht gelesen in unserer TAGESZEITUNG von ner kleinen 10.000 Einwohner Stadt, wo von Viren bei Apple gewarnt wird und fürs surfen Linux empfohlen wird. Ich glaube, ich sollte diesen kleinen Schuppen mal besuchen *Argh*

Alle nur frustriert, weil sie immer wieder das Speichern auf ihren alten IBM Kisten vergessen und Windows regelmäßig abstürzt :p
 

SilentCry

deaktivierter Benutzer
Registriert
03.01.08
Beiträge
3.831
Ja, "Sicherheit und Apple", das ist für mich ein ganz, ganz heisses Thema.(*)
Warum keine Virenschutz-Engine, die gleich mit OS X geliefert wird und _nur Macviren_ scanned?

OK, es gibt derzeit keine (oder einen Trojander zum Selbstinstallieren :.) aber die Engine müsste da sein und direkt vom Appleupdate mit Signaturfiles versorgt werden.
Intego Virus Barrier funktioniert zwar, aber ich verstehe nicht, warum ich als Mac-User eine hunderttausende Einträge große DB halten muss mit der Chance auf "false positive" (je mehr Signaturen desto wahrscheinlicher werden vergleichsweise die Fehlalarme) wenn es für Mac sowas gar nicht oder nur in Spurenelementdosierung gibt.

Ich verstehe Apple nicht. Sie hätten die Chance, proaktiv auf eine bekannte Bedrohung zu reagieren, aber was machen sie? Einen pinken iPod nano. Eine Festplatte in eine Airport Extreme einbauen und TimeCapsule nennen. Alles ganz fein, aber man sollte darob doch nicht den Kern vernachlässigen.
Eine ganz klasse Schalgzeile/Meldung wäre:
"Erster Apple-Trojaner scheitert an iDefense, dem OS X-Sicherheitssystem das Malware auf behavioristischen Algorithmen hin erkennt und abfängt. Gestern Abend wurde der Schädling "iBot.elf" entdeckt, der sich versuchte, massenweise über eine Sicherheitslücke in Firefox als Drive-by-Infection zu verbreiten. iBot.elf war designed für OS X und Linux, sein Bruder iBot.w32 startete zeitgleich die Verbreitung.
Die OS X-Version wurde entdeckt. Allerdings nicht wie in der Windowswelt üblich von einem Expertenteam eines Antivirenherstellers nach dem Ausbruch sondern beim Infektionsversuch am OS X durch iDefense. Während die Windowsversion geschätzte 28 Millionen Rechner in der ersten Nacht infizierte, darunter auch einige Firmennetzwerke, und derzeit abermillionen Anwender und einige Administratoren damit beschäftigt sind, Virenscannerupdates einzuspielen die diesen neuen Virus erkennen hat Apple bekannt gegeben, dass etwa 40.000 Anwender iDefense nach selbstverständlicher Nachfrage erlaubt hätten, die Angriffsdetails an Cupertino zu übermitteln. Aus diesen Logs sei ersichtlich, dass iDefense den Trojaner im Ansatz gestoppt und vom System entfernt hatte. OS X-Anwender könnten also beruhigt sein, der Trojaner sei für sie keine Gefahr."​
(*) Man denke an FileVault ohne 256bit-AES-Option, Timemachine praktisch unbrauchbar mit FileVault, TM sicher nicht zuverlässig auf Cryptocontainer, Screensaver speichert Passphrase im Klartext (unschön, zeigt aber, wie wenig wichtig OS X-Developer Sicherheit nehmen), keine BootHDD-Encryption, keine GUI für's Sanboxing...)
 
Zuletzt bearbeitet:

DesignerGay

Danziger Kant
Registriert
27.07.07
Beiträge
3.900
@SilentCry

Du machst es Dir doch relativ einfach, soll sich Apple mal drum kümmern und ich kann dann weiterhin unbesorgt alles öffnen. Es wird nie eine 100% Sicherheit für einen Computer geben der mit dem Internet verbunden ist.

Auch wenn Apple ein iDefence mit dem OS X anbieten würde, die Haker hätten bald die Funktionsweise herausgefunden und würden entsprechende Software entwickeln um das ganze zu Umgehen. Auf einen Schädling wird es meiner Ansicht nach immer nur eine Reaktion geben.

Auch mit einem Mac sollte man sich nicht in 100%iger Sicherheit wiegen, solange man seinen Computer mit bedacht betreibt kann man schon viel preventiv vermeiden.
 

SilentCry

deaktivierter Benutzer
Registriert
03.01.08
Beiträge
3.831
Du machst es Dir doch relativ einfach, soll sich Apple mal drum kümmern und ich kann dann weiterhin unbesorgt alles öffnen.
Das schrieb ich nicht. Im Gegenteil, ich schrieb sogar explizit als Beispiel "Drive By"
http://www.download.com/Security-glossary/1200-2023_4-5157394.html#D schrieb:
Drive-by
This term is loosely used for a stealth software installation the user does not initiate. In some cases, simply visiting a Web page can download malicious programs to a PC without a user's knowledge or consent. In other cases, a pop-up ad might be used to initiate a drive-by installation.
Werbebanner sind so ein Einfallstor. Da ist nichts mit dem Stereotyp, dass sich nur besoffene Pornosucher oder Raubmordkopierer einen Trojaner einhandeln. Das kann jeden treffen, potentiell.

Es wird nie eine 100% Sicherheit für einen Computer geben der mit dem Internet verbunden ist.
Kannst Du mir sagen, warum Sicherheitsdiskussionen immer in die "100%-Sackgasse" münden müssen?
"Schnall Dich an, mein Kind!"
"Ach, Papi, es wird nie 100% Sicherheit in einem fahrenden Auto geben."​

Auch wenn Apple ein iDefence mit dem OS X anbieten würde, die Haker hätten bald die Funktionsweise herausgefunden und würden entsprechende Software entwickeln um das ganze zu Umgehen.
Ich glaube nicht an die Allmächtigkeit der Hacker. Auch die kochen mit Wasser. Und wie wir wissen, dauert es seine Zeit, bis Wasser kocht. Es wurden früher einfache Sperrhaken augehebelt, dann die primitiven Schlösser, dann die Zylinderschlösser ... trotzdem versperrt jeder seine Haustür und trotzdem macht es Sinn, immer neue Schlösser zu konstruieren.

Auf einen Schädling wird es meiner Ansicht nach immer nur eine Reaktion geben.
D.h. Du hältst von einer Verhaltensmusteranalyse nichts?

Auch mit einem Mac sollte man sich nicht in 100%iger Sicherheit wiegen, solange man seinen Computer mit bedacht betreibt kann man schon viel preventiv vermeiden.
Auch ich bin ein großer Fan von Brain 2.0. Keine Frage. Dennoch sollte man den Hersteller eines OS nicht aus der Pflicht nehmen, auf höchstem Niveau mit absoluter Priorität die Datensicherheit seiner Kunden und die Privacy sicher zu stellen.
 
  • Like
Reaktionen: ImperatoR

Gastone

Bismarckapfel
Registriert
16.08.06
Beiträge
145
Eine Infektion müsste man indirekt über LittleSnitch mitbekommen. Der Virus scheint laut Bericht Verbindungen zu Chats aufzubauen. Diesen Verbindungsaufbau sollte man über das genannte Tool mitbekommen, oder?
 

NoaH11027

Weisser Rosenapfel
Registriert
14.03.06
Beiträge
777
@SilentCry
...und was hat dasmit der aktuellen Meldung zu tun?

Ich finde deine iDefense Idee ja schön, hat aber eigentlich nichts mit der aktuellen Attacke zu tun, mal abgesehen davon das sich beide Themen irgendwie um Viren/Bots drehen.

Ich denke für iDefense bist du in einem extra Thread besser aufgehoben, oder?

Eine Infektion müsste man indirekt über LittleSnitch mitbekommen. Der Virus scheint laut Bericht Verbindungen zu Chats aufzubauen. Diesen Verbindungsaufbau sollte man über das genannte Tool mitbekommen, oder?

Eigentlich sollte man das, grundsätzlich sollte mein Router sich auch melden da ich IRC mit einer Warnung bei Zugriff durch unauthorisierte IP-Adressen konfiguriert habe und IRC nutze ich nur aus einer FreeBSD VM heraus.
Mich würde aber interessieren was wohin kopiert worden ist und wie es funktioniert. Schade das es darüber keine Auskunft gibt.

:D Ist ja fast ein Anreiz das mal in einer VM auszuprobieren ;)

NoaH
 

SilentCry

deaktivierter Benutzer
Registriert
03.01.08
Beiträge
3.831
@SilentCry
...und was hat dasmit der aktuellen Meldung zu tun?
Stimmt schon, tangiert das Thema nur im Bereich eben der Sicherheit von Macs und Viren. Ich fand halt, hier könnte ein Hersteller mal PROAKTIV punkten, denn die meisten Mac-User haben vermutlich derzeit keinen Scanner am System, d.h. sollte es mal einen Outbreak geben, trifft der Virus auf 90% ungeschützte Macs selbst _falls_ aktuell gehaltene OS X-Scanner ihn recht rasch mit Signatureupdate erkennen würden. Deswegen fand ich es besser, eine solche Engine gleich jetzt, wo die ganzen Horrormeldungen _noch_ pure Übertreibung sind, im OS X zu verankern.

Man kann die Knarre nicht erst kaufen, wenn man überfallen wird, man muss vorher schon sehen, dass die Gegend in der man sich aufhält immer mehr verkommt und sich vorbereiten.

Aber ok, hast Recht, ich ziehe mich aus diesem Thread zurück.
 

JackRyan

Freiherr von Berlepsch
Registriert
28.10.05
Beiträge
1.098
*gähnt* Auch jemand eine Tasse Kaffee?
 

philipxD

Friedberger Bohnapfel
Registriert
22.12.07
Beiträge
532
hoffe, dass AnitVir den tollen, kostenlosen Virenscanner auch mal für Mac OS X rausbringt... Der ist super...
 

julien1204

Oberdiecks Taubenapfel
Registriert
10.04.07
Beiträge
2.728
aber auch wenn Viren fuer OS X kommen sollten...... mittels Time Machine kann man wirklich jeden Virus zunichte macht indem man eben einfach den letzten Stand neu aufspielt.....dauert eben im schlimmsten fall nur ein wenig....
 

SilentCry

deaktivierter Benutzer
Registriert
03.01.08
Beiträge
3.831
aber auch wenn Viren fuer OS X kommen sollten...... mittels Time Machine kann man wirklich jeden Virus zunichte macht indem man eben einfach den letzten Stand neu aufspielt.....dauert eben im schlimmsten fall nur ein wenig....
Ähem... ich wollte mich zwar aus dem Thread zurückziehen aber...
Es ist doch eher das Ziel, eine Virus/Trojaner-Infektion zu VERHINDERN. Was soll denn TM da helfen, wenn Du mangels Scanner gar nicht weisst, dass Du einen Virus hast? Du backupst sogar automatisch fröhlich weiter die infizierten Dateien, die, falls Du dann irgendwann draufkommst vielleicht gar nicht mehr zu retten sind.
Also, TM mit bzw trotz all seinen Schwächen, in allen Ehren, aber als Antivirusgegenmaßnahme ist sie wohl fehl am Platz.
 

bloodworks

Strauwalds neue Goldparmäne
Registriert
01.09.06
Beiträge
643
aber auch wenn Viren fuer OS X kommen sollten...... mittels Time Machine kann man wirklich jeden Virus zunichte macht indem man eben einfach den letzten Stand neu aufspielt.....dauert eben im schlimmsten fall nur ein wenig....

schmunzel.. genau ich setzte mein System komplett auf den Stand wie vor X Tagen zurück. In der Hoffnung allerdings dass ich den Virus nicht mitgebackupt habe...

Jedenfalls ist es so, dass es für Linux/Unix System von der Konzeption des OS nicht so einfach ist einen wirkungsvollen Virus zu schreiben, wegen der Rechtevergabe , keine Registry etc. Tatsache ist aber auch, dass es in speziellen Fällen und unter Ausnützung von eventueller, wenn auch kleiner, Lücken möglich sein kann einen interessanten Virus/Schadsoftware zu entwickeln. Und das besonders, da immer mehr Leute vor den Kisten sitzen, die gar keine Ahnung haben und einfach mal alles installieren.
Und deshalb sollte man zumindest nicht gleich zusammengefalltet werden, wenn man mal irgendwelche Gedanken zum Schutz vor solcher Software auftauchen.

Ich bin im übrigen der Meinung, dass der beste Schutz vor Schadsoftware der Konzeptuelle ist und nicht unbedingt der durch ein Programm. Allerdings wäre ich auch mal so langsam dafür, dass Apple eine echte Homephoner Firewall einbaut. Achso und bis dahin: einfach mal net alles installieren oder mal in Log files schaun.
gruß
 

bluefisch200

Bismarckapfel
Registriert
08.10.07
Beiträge
144
Immer wieder werden die warnenden Stimmen laut, dass Mac OS X nicht unverwundbar sei.

ISt es auch nicht nur das Sicherheitssystem ist sehr gut, genau wie bei Linux, und mit Vista ist M$ auf auf gutem Weg dazu. Nur vieleicht ein bisschen zu extrem.:p