[UPDATE] Neue Version des Trojaners Flashback wird hinterlistiger

[Marc Freudenhammer]

Der bereits im August dieses Jahres aufgetauchte Mac-Trojaner Flashback, der sich über ein vorgetäuschtes Flash-Update einschleicht, ist nun in einer verbesserten Version aufgetaucht. Wie einige Anti-Viren-Hersteller berichten (hier und hier) verfügt der Trojaner Namens Flashback.B nun über zwei Neuerungen, die das Aufspüren und die Entfernung der Malware erheblich erschwert. Mittels einer Abfrage beim Start stellt Flashback.B sicher, dass er sich nicht in einer virtuellen Maschine (VMware Fusion) befindet. Sollte dem so sein, bleibt das Programm inaktiv. Das ist deswegen problematisch, weil Sicherheitsexperten üblicherweise in solch einer virtuellen Umgebung arbeiten, um bei der Analyse von Schadsoftware nicht das gesamte System zu infizieren. [PRBREAK][/PRBREAK]

Eine weitere Neuerung besteht darin, dass die neue Version nun nicht mehr eine einfach auffindbare Datei unter dem Pfad ~/Library/Preferences/Preferences.dylib ablegt, sondern Veränderungen an Safaris info.plist-Datei vornimmt. Diese Manipulation führt dazu, dass bei der Löschung des eigentlichen Backdoor-Moduls, welches sich unter ~/Applications/Safari.app/Contents/Resources/UnHackMeBuild ablegt, Safari nicht mehr gestartet werden kann. Der einfachste Schutz vor einer Infizierung mit Flashback.B besteht darin, Updates für Adobes Flash-Player immer von der offiziellen Herstellerseite, beziehungsweise über die Systemeinstellungen, herunterzuladen.

UPDATE: Zum Vergleich haben wir nochmal ein Bild der echten Installation eingefügt. Das erste Bild ist der Installer des Trojaners, das zweite zeigt den echten Installer, den ihr seht, wenn ihr Flash wirklich updatet.




Via Macnews

 

[flash77]

Werde mir die neue Version gleich mal ziehen^^Wird sowas eigentlich durch Updates von Apple behoben oder braucht man in dem Fall ein Antivirenprogramm?

 

[Applicator]

Naja, was soll ich sagen ausser: "Selber Schuld!"Wer sich seine Updates etc. von irgendwelchen Drittseiten zieht muss sich über sowas nicht wundern.

 

[fatalex]

hm... letztens hat sich Adobe Flash PLayer gemeldet und wies auf ein Update hin... Poppte einfach auf...jetzt bin ich etwas beunruhigt!Wie kann ich feststellen, ob da was faul ist?

 

[ARPI]

Also updates ganz klassisch über die Softwareaktualisierung bzw. über das eigentliche Programm laden, oder?

 

[Pascolo]

Sieht das Installationsfenster des "richtigen" Flash-Players nicht anders aus?

 

[fatalex]

Also updates ganz klassisch über die Softwareaktualisierung bzw. über das eigentliche Programm laden, oder?

Als ich Safari geöffnet habe, wurde ich drauf hingewiesen...

 

[Synoxis]

hm... letztens hat sich Adobe Flash PLayer gemeldet und wies auf ein Update hin... Poppte einfach auf...jetzt bin ich etwas beunruhigt!Wie kann ich feststellen, ob da was faul ist?

Das hab ich mich auch gerade gefragt.

 

[Vito]

Das hab ich mich auch gerade gefragt.

Same here!

 

[ARPI]

Bin jetzt einfach mal in die Systemeinstellung und haben manuelles update versucht, gibt keine neue Version, dann st ja gut

 

[NEo250686]

Na wenn es im Safari kommt kommt das Update doch direkt von Adobe!Es geht darum evtl auf www.updates.com (falls sowas überhaupt gibt) sich mit Updates ein zu decken. Auf solchen Seiten könnte man sich den einfangen.Aber wenn Safari einen darauf hinweist, kam der Befehl ja von Flash was auf dem System ist und da ist alles i.O.

 

[JvW]

Der einfachste Schutz vor einer Infizierung mit Flashback.B besteht darin, Updates für Adobes Flash-Player immer von der offiziellen Herstellerseite, beziehungsweise über die Systemeinstellungen, herunterzuladen.

Ja, nee? Wirklich raffiniert das Teil - kaum zu vermeiden, dass man sich infiziert. Weil es ja gar nicht geht, irgendetwas, was gratis ist, aus der normalen Quelle zu beziehen.

 

[Loooki]

Sieht das Installationsfenster des "richtigen" Flash-Players nicht anders aus?

Ja, etwas "professioneller"

 

[fatalex]

Jetzt bin ich beruhigt

Ja, nee? Wirklich raffiniert das Teil - kaum zu vermeiden, dass man sich infiziert. Weil es ja gar nicht geht, irgendetwas, was gratis ist, aus der normalen Quelle zu beziehen.

Bei Adobe kannst du meiner Meinung direkt von der Seite aus downloaden! Aber es stimmt... Einige kostenlosen Tools, verweisen auf chip.de oder wie die auch alle heissen! Da finde ich die Variante mit dem Mac App Store gar nicht mal so schlecht, da man dort auch die Updates herbekommt...

 

[Kaaai_]

Na toll,gestern kam bei mir ein Flashplayer update! Muss ich jetzt beunruhigt sein?

 

[Binary]

Link zu ner antivirensoftware wäre nicht schlecht gewesen

 

[Marc Freudenhammer]

Sieht das Installationsfenster des "richtigen" Flash-Players nicht anders aus?

Ganz genau, das ist ein Beispiel für ein gefaktes Installationsfenster. Da gibt es den Trojaner quasi gratis dazu

 

[SilentCry]

Leute, wer den Flashplayer VON ADOBE geladen hat kann auch nicht von einem Update, das DER ADOBE Flashplayer anfordert, infiziert werden.Hier geht es um einen Trojaner. Klassisch: Der Trojaner täuscht vor, ein Programm zu sein das er in Wahrheit gar nicht ist respektive vielleicht schon die Funktion vortäuscht aber im Hintergrund noch etwas anderes macht.Wichtig: Er muss _aktiv_ installiert werden; dieser hier vermutlich mit Admin-Rechten!In dem Fall schätze ich hilft eine natürliche Vorsicht.

 

[MacHoliday]

Ich hoffe die Jungs in Cupertino bekommen das schnell in den Griff. Denn ist der Damm erst mal gebrochen...
Hacker machen ihren Job primär wegen der Ehre um somit vielleicht später ein hoch dotierten Posten als Sicherheitsberater in einem großen Unternehmen zu bekommen.
Für mich war der Verzicht auf Antiviren-Programme und die mit ihnen verbundenen Nachteile ein wesentlicher Grund damals zu switchen.

 

[Blade]

An alle die sich nicht ganz sicher sind, so sieht der original Flashplayer von Adobe aus:

http://imageshack.us/g/14/bildschirmfoto20111014uo.png/


Grüße
Blade