Als Pokerspiel getarnter Trojaner im Umlauf

Felix Rieseberg

̈Öhringer Blutstreifling
Registriert
24.01.06
Beiträge
5.589
Wie die Sicherheitsexperten von Intego in einer Warnmeldung mitteilen, geistern ein als Pokerspiel getarnter und für Mac OS X gefährlicher Trojaner durch das Netz.

Der Trojaner mit dem simplen Namen 'PokerGame' vermeldet nach dem Download einen Fehler, der durch Eingabe des Benutzerpasswortes repariert werden könne. Anschließend werden der Benutzername, das zugehörige Passwort sowie die IP-Adresse an einen fremden Server gesendet.
Dies ermöglicht dem Angreifer, schädlichen Code mit Root-Rechten auszuführen. 'Root' bezeichnet unter UNIX- und Mac OS X - Systemen den Benutzer, der vollkommen ohne Beschränkungen schalten und walten kann.

via Pressemitteilung | Danke an Arni & Skeeve
 

Anhänge

  • MacOSX-Poker.jpg
    MacOSX-Poker.jpg
    37,3 KB · Aufrufe: 748

o_Paul

Boskop
Registriert
01.02.08
Beiträge
204
Schon irgendwie sehr billig und schlecht aber auf jeden fall gut zu wissen. Es wird langsam mehr habe ich das Gefühlt ;)
 

Ikezu Sennin

Schöner von Bath
Registriert
15.07.07
Beiträge
3.629
Gut, dass ich Pokern doof finde...

Little Snitch sollte dagegen helfen, sofern der Befallene es hat und nicht blind auf Erlauben klickt.

Aber dieses Beispiel zeigt mal wieder schön, dass Malware ohne Zutun des Users auf einem Mac schlechte Karten hat.
 

XeroX

Süssreinette (Aargauer Herrenapfel)
Registriert
04.01.07
Beiträge
407
mithilfe von Little Snitch würde es doch garnicht dazu kommen können, dass dieses Prog Daten sendet oder? Ich glaube jedenfalls zu meinen dass der immer sagt "liitle snitch automatically denied outgoing connections for blablabla". Oder verstehe ich das falsch und das Prog verschafft sich mittels des eingegebenen Passwortes den Zugang zum Internet?

cheers,
Grischa
 

Ikezu Sennin

Schöner von Bath
Registriert
15.07.07
Beiträge
3.629
Entweder 'lil Snitch verbietet prophylakisch oder fragt, ob das Programm raus darf; und abschalten kann es der Angreifer erst, wenn er die Kontrolle hat, was ja nicht geht, bevor die Petzte das OK hat.
 

Skeeve

Pomme d'or
Registriert
26.10.05
Beiträge
3.120
Das Problem ist aber doch, wenn das ein Online Pokerspiel ist (ich weiß es nicht, da mich Pokern auch nicht die Bohne interessiert), daß der Benutzer ja damit rechnet, daß etwas rausgeschickt wird. Somit wird er es erlauben.
 

Tyrra

Kronprinz Rudolf von Österreich
Registriert
17.12.07
Beiträge
1.902
Wooooow, ich dachte immer weil hier manche sowas gegen Antivierensoftware für den Mac sind das soweit einfach nicht passieren kann!

Sorry wegen der Ironie - Aber ich bin einfach der Meinung das manche ganz gerne die "Vogelstraußpolitik" all zu gerne anwenden!

Bei mir läuft Sophos - und das ist gut so!
 

floeschen

Horneburger Pfannkuchenapfel
Registriert
13.08.06
Beiträge
1.402
Was aus dem Artikel allerdings nicht ganz klar wird: Man wird gebeten das Root-Passwort einzugeben? Dann kann ja eigentlich nichts passieren, wenn man "nur" das normale Admin-Passwort eingibt. Gut, dass ich den root nicht aktiviert habe. ;)
 

Ikezu Sennin

Schöner von Bath
Registriert
15.07.07
Beiträge
3.629
Ob der Virenscanner das Ding schon kennt, steht auf einem anderen Blatt. Kennt er das Ding noch nicht, nützt er dir gar nichts.
Hier gilt schlicht und einfach wie bei Allem im Internet: Augen auf und Nachdenken, bevor man irgendwo was anklickt oder eintippt.
 

SilentCry

deaktivierter Benutzer
Registriert
03.01.08
Beiträge
3.831
Sorry wegen der Ironie - Aber ich bin einfach der Meinung das manche ganz gerne die "Vogelstraußpolitik" all zu gerne anwenden!
Da gebe ich Dir an sich recht, im vorliegenden Fall allerdings ist das eher "Phishing". Wie gut ein Scanner helfen kann wenn einer "reingelegt" wird bleibt fraglich.

Bei mir läuft Sophos - und das ist gut so!
Ich werde Dir das nicht madig machen.

Was aus dem Artikel allerdings nicht ganz klar wird: Man wird gebeten das Root-Passwort einzugeben? Dann kann ja eigentlich nichts passieren, wenn man "nur" das normale Admin-Passwort eingibt.
Er wird vermutlich das ADMIN-Passwort abfragen. Dann hat er sudo-Rechte, also wie root.
 

nggalai

Roter Stettiner
Registriert
23.05.07
Beiträge
957
Er wird vermutlich das ADMIN-Passwort abfragen. Dann hat er sudo-Rechte, also wie root.
Der Trojaner nutzt die Sicherheitslücke im ARD-Agent, die vor ein paar Tagen bekannt wurde. Soll heißen, der Angreifer hat dann ganz ohne sudo volle Rootrechte (whoami gibt root zurück). Das Paßwort braucht er theoretisch noch nicht einmal dazu, einmal ausführen reicht.

http://www.fscklog.com/2008/06/ardagent-schwac.html

Cheers,
-Sascha

Edith sagt: Ich habe da wohl was verwechselt. Das scheinen zwei verschiedene Trojaner zu sein.

http://www.tuaw.com/2008/06/20/watch-out-for-pokergame-trojan/

Der, um den es in diesem Thread geht, macht’s über SSH, nicht den ARD-Agent.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: floeschen

crossinger

Doppelter Melonenapfel
Registriert
30.07.06
Beiträge
3.369
Sorry wegen der Ironie - Aber ich bin einfach der Meinung das manche ganz gerne die "Vogelstraußpolitik" all zu gerne anwenden!

Nein, es ist eher so, dass zunehmend (auch wenn man z.B. bei Heise mitliest) das "Problem" vor dem Rechner sitzt. Ich habe eigentlich weniger Sorgen vor Viren als vielmehr vor Phising-Versuchen. Weil man bei der Flut an gut gemachten Fakes nämlich "Freund" und "Feind" kaum noch auseinanderhalten kann.

Und da hilft auch kein Sophos, sondern nur 24/7 das Hirn vor dem Computer in Hab-Acht-Stellung! (ziemlich anstrengend, aber leider notwendig)

*J*
 
  • Like
Reaktionen: kerker00

.holger

Borowitzky
Registriert
13.09.04
Beiträge
8.970
Warum soll ich auch für ein Pokerspiel mein Passwort eingeben? Würde ich nicht machen, da fliegt das Ding lieber gleich wieder von der Platte.
 

Skeeve

Pomme d'or
Registriert
26.10.05
Beiträge
3.120
Warum soll ich auch für ein Pokerspiel mein Passwort eingeben? Würde ich nicht machen, da fliegt das Ding lieber gleich wieder von der Platte.
Ist doch normal, daß man sein Passwort eingeben muß (bzw. das eines Admins) wenn ein Programm installiert wird.
 

bloodworks

Strauwalds neue Goldparmäne
Registriert
01.09.06
Beiträge
643
Na man sollte halt schon schauen wem man die Rechte verpasst. Bei ner "normalen" Installation muss man dem Finder oder dem Installer root Rechte geben. Irgend einem Programm dass ich nicht wirklich kenne, root zu geben ist etwas Unvorsichtig würde ich sagen!
 

Skeeve

Pomme d'or
Registriert
26.10.05
Beiträge
3.120
Nur bei Programmen, die tiefer in´s System eingreifen und wenn dann vor der Installation.
Da ich nicht als Admin arbeite, muß ich sogar beim Kopieren in den „Programme“ Ordner mein Passwort eingeben.

Aber gut: Da ich denke, brain1.0 vernünftig konfiguriert zu haben, sollte mir nichts passieren. Insbesondere weigere ich mich, Programme zu installieren, die einen Installer verwenden, wenn ich nicht 100% weiß, daß das wirklich nötig ist. Spiele mit Installer kommen mir z.B. gar nicht auf die Platte.
 

phkl

Niederhelfenschwiler Beeriapfel
Registriert
19.10.07
Beiträge
838
Allein das Icon fänd ich zu hässlich um es nur ne Minute auf meinem Rechner zu lassen
 
  • Like
Reaktionen: SilentCry