Trojaner stürmt nun auch Macs

[Macbeatnik]

Da sollten dann, sofern man den KeyGenerator benutzt hat folgende Einträge zu finden sein:
/usr/bin/DivX
/var/root/.DivX
/System/Library/StartupItems/DivX
eventl. noch ander nachgeladene Dateien.

 

[retton]

@Macbeatnik danke Dir!
Alles sauber. Den Ordner /var/root/... konnte ich nicht betrachten.

LG
Retton

 

[Macbeatnik]

Da wirst du sicherlich auch nur hineinschauen können, wenn du root Rechte hast.
Wenn allerdings auch die anderen Dateien nicht vorhanden sind, wird sich dort auch nichts verbergen.

 

[Paganethos]

ACK
darum ist IMHO der FW gui in OSX unbrauchbar.
und.......was soll man bitte mit einer firewall auf der kiste, die man schützen soll.
das muß vorher passieren.

und wenn firewall, dann muß das min. auch von innen nach aussen schützen.

von aussen nach innen.......also bitte.....da reicht doch ein NAT router.

und ausserdem ist die "news" nicht unbedingt new.
aber das hab ich schon erwähnt

Also ich wäre um eine voll funktionsfähige FW mit rundum Schutz (aussen - innnen, innen- aussen) schon sehr froh. Ich habe nämlich keinen Router mit FW und will eigentlich auch keinen anschaffen.

 

[Cathul]

Also ich wäre um eine voll funktionsfähige FW mit rundum Schutz (aussen - innnen, innen- aussen) schon sehr froh. Ich habe nämlich keinen Router mit FW und will eigentlich auch keinen anschaffen.

Die IPFW die in Mac OSX eingebaut ist, kann sowas. Allerdings ist es für Laien ziemlich kompliziert sich in die Funktionsweise einzuarbeiten. Wieso LittleSnitch (oder auf Windows die ganzen Personal Firewalls) nicht so gut ist wie immer angenommen wird habe ich ja schon weiter oben mit ein paar Fragestellungen, bzw. Feststellungen dargelegt.

Die beste Firewall läuft allerdings, egal welches System man betrachtet, _nicht_ (!) auf dem zu sichernden System.

 

[iStefan]

In dem Zusammenhang möchte ich nur einmal auf folgende offizielle Seiten verweisen:

http://www.apple.com/support/security/guides/

http://www.nsa.gov/ia/guidance/security_configuration_guides/operating_systems.shtml

Stefan

 

[Zeisel]

Zombie-Äpfel

So titelte die taz:

Sicherheitsprobleme beim Mac (Quelle)
Erste Zombie-Äpfel

Doch im Text finden sich auch Passagen wie

... trotz aller Berichte zu Mac-Schädlingen in den letzten Monaten: Noch bleibt es auf der Plattform im Vergleich zur völlig durchseuchten Windows-Welt ruhig. Echte Viren, die sich automatisch verbreiten, fehlen, stattdessen muss der Nutzer stets etwas tun, bevor sich eine Malware installiert - sei es das Vorbeisurfen auf ominösen Websites mit anschließendem Download oder die Nutzung von Raubkopien.

und

Panik sei aber keineswegs angebracht, sagen IT-Security-Fachleute - auch weil Apple eine grundlegend gute Sicherheitsarchitektur einsetzt.

Man kann also feststellen, dass ohne die Aktive Mitarbeit des Users keine Schadprogramme ihren Weg auf einen Mac finden, die alleinige Androhung jedoch auflagensteigernd zu wirken scheint.

 

[eyecandy]

liest die redaktion eigentlich die taz?

 

[mdi]

ich hab's immer geahnt. die guten zeiten sind vorbei, es wird ernst! und komme mir jetzt bloss keiner mit MacMark!
achtung: dieser gefährliche parasit wird als "Sachsenwurm" verbreitet.

 

[mucke]

Jo war doch klar, in nächster Zeit wird sich das auch bestimmt häufen.

 

[MacMark]

…es wird ernst! …

Der Tored-"Wurm" ist kein Wurm. Aber das kriegen die AV-Jungs und die Presse schon seit Jahren nicht mehr richtig eingeordnet: Ein Wurm verbreitet sich ohne Zutun der Benutzer. Den Tored bekommt man per Mail, muß den Anhang eigenhändig starten und dann noch mit Admin-Paßwort bestätigen, daß man ihm erlaubt, System-Dateien (Startup-Items) zu installieren.

Nur der echte "Sachsen-Wurm" ist noch weniger Wurm.

 

[Retrax]

Trotzdem sollte auch Macusern mittlerweile klar sein, dass sie nicht jeden obskuren Codec der ihnen angeboten wird installieren sollten, und desweiteren auch zumindest sensibilisiert sein, wenn man Software aus unseriösen Quellen nutzen möchte.

 

[MacMark]

Natürlich!

 

[FritzS]

Mac-Trojaner tarnt sich als PDF (Heise, F-Secure)

Mac-Trojaner tarnt sich als PDF

http://www.heise.de/newsticker/meldung/Mac-Trojaner-tarnt-sich-als-PDF-1349481.html

Malware, die sich in PDF-Dateien versteckt und Lücken in den Anzeigeprogrammen ausnutzt, kommt immer wieder vor. Den Virus-Forschern von F-Secure ist nun eine Datei ins Netz gegangen, die zwar wie ein PDF aussieht, jedoch einen ganz anderen Infektionsmechanismus nutzt. Tatsächlich handelt es sich um ein Mac-OS-X-Programm, das jedoch in seinen Ressourcen eine PDF-Datei enthält. Diese öffnet es im PDF-Viewer des Mac, während es im Hintergrund die eigentliche Backdoor-Software herunterlädt. Für den Computernutzer passiert also bei einem Doppelklick auf die vermeintliche PDF-Datei genau das, was er erwartet, sodass er kaum Verdacht schöpfen dürfte.
.. (den vollen Beitrag siehe Link) ..

http://www.f-secure.com/weblog/archives/00002241.html

We may have come across a Mac malware in the making. Detected as Trojan-Dropper:OSX/Revir.A, the malware disguises as a PDF file to trick user into triggering its payload.

It starts by dropping a PDF file embedded in its body and opens it in an attempt to prevent the user from noticing the ongoing suspicious activity.

Nur ein Marketing Gag, oder wird es doch eine ernsthafte Bedrohung?

 

[Retrax]

Gehen die Ressourcen nicht "unterwegs" also übers Internet verloren, wenn man die Datei nicht zippt?

Was würde denn der Finder bei so einer Datei anzeigen? Wohl doch "Programm" anstelle PDF Dokument, oder?

 

[QuickMik]

Trotzdem sollte auch Macusern mittlerweile klar sein, dass sie nicht jeden obskuren Codec der ihnen angeboten wird installieren sollten, und desweiteren auch zumindest sensibilisiert sein, wenn man Software aus unseriösen Quellen nutzen möchte

Natürlich!

also mal ehrlich...disskutieren wir hier über einen trojaner, den wir selbst installieren müssen ?
ich meine.....dann kann man ja jemandem auch ein email schreiben, das er seinen dokumente und library selbst leer machen soll.

 

[Retrax]

also mal ehrlich...disskutieren wir hier über einen trojaner, den wir selbst installieren müssen ?
ich meine.....dann kann man ja jemandem auch ein email schreiben, das er seinen dokumente und library selbst leer machen soll.

Eine PDF Datei öffnete man schonmal ohne groß darüber nachzudenken ob es jetzt ein Trojaner sein könnte. Zumindest bis jetzt. Daher ja meine Frage ob sich der Trojaner unter Mac OS X wirklich als PDF-Dokument ausgeben kann oder ob das dann nicht doch im Finder als Programm identifiziert wird. Bei einer Datei.pdf.exe ist die Sache ja auch klar.

 

[QuickMik]

Eine PDF Datei öffnete man schonmal ohne groß darüber nachzudenken ob es jetzt ein Trojaner sein könnte.

aber ich gebe beim öffnen eines pdf´s kein passwort ein.

Daher ja meine Frage ob sich der Trojaner unter Mac OS X wirklich als PDF-Dokument ausgeben kann oder ob das dann nicht doch im Finder als Programm identifiziert wird. Bei einer Datei.pdf.exe ist die Sache ja auch klar.

so ist es. weil eine exe ja sowieso kein programm für os x ist
SCNR

also nachdem ich diesen trojaner nicht habe, könnte ich maximal mutmaßen über deine frage.

 

[FritzS]

aber ich gebe beim öffnen eines pdf´s kein passwort ein.
so ist es. weil eine exe ja sowieso kein programm für os x ist
SCNR
also nachdem ich diesen trojaner nicht habe, könnte ich maximal mutmaßen über deine frage.

Der aufgetauchte Trojaner ist auf den Mac zugeschnitten.

IMHO - Gefährlich werden könnte das Ding nur, wenn es im Vordergrund die Vorschau (oder falls installiert den Adobe Reader) öffnet und im Hintergrund über eine Schwachstelle eine Schadsoftware ohne Passwortabfrage installiert. Es würde ja schon reichen wenn es unbemerkt nur im Userspace aktiv wird.
Im PDF kann man genug an Bösartigem verstecken:
http://www.heise.de/security/artikel/Tatort-Internet-PDF-mit-Zeitbombe-1036564.html

Das jetzt aufgetauchte Ding scheint eine Art Designstudie zu sein. Wenn es zum Glück bis jetzt keine ernsthaften Bedrohungen für den Mac gab, bedeutet das nicht, dass es immer so bleiben wird.

Wenn die Schwelle zu den Unix-Artigen mal überschriffen wird, ist auch der Mac und Linux ein Angriffsziel, auch wenn schwerer zu realisieren, aber sicher auch machbar. Die Schwachstellen müssen ja nicht unbedingt bei Apple selbst liegen, Adobes Flash und Oracles Java reichen schon ....

Teuflisch genial wäre so ein Ding wenn es im Hintergrund mal den OS Typ und Version ausliest und dann den passenden Schädling dazu nachläd. Wie im Heise Artikel beschrieben lässt sich im PDF Einiges verstecken.

Ich hoffe nur, dass das nur ein Sturm im Wasserglas war und der derzeitige Zustand (nahezu keine Bedrohung) noch lange anhalten mag.

 

[Pascolo]

Mich irritiert, dass es in solchen Meldungen wie in #234 meistens um PDF-Dateien geht. Unter iOS gab es da doch auch schon die eine oder andere PDF-Lücke.