1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Linux-Virus (nicht) auf Mac OS X portiert

Dieses Thema im Forum "Magazin" wurde erstellt von Felix Rieseberg, 03.03.08.

  1. Felix Rieseberg

    Felix Rieseberg Seestermüher Zitronenapfel

    Dabei seit:
    24.01.06
    Beiträge:
    6.149
    Das große Verkaufsargument für Mac OS X, die Sicherheit, steht in letzter Zeit unter scharfer Kritik: Immer wieder werden die warnenden Stimmen laut, dass Mac OS X nicht unverwundbar sei. Auch am Internet Storm Center des SANS-Institutes für Netzwerkverwaltung war man im Alarmzustand, denn den Wissenschaftlern ist ein für Mac OS X portierter Virus zugespielt worden. Der Schädling mit dem Namen RST.B wird zwar von Symantec mit der Gefahrenstufe "Very Low" eingeschätzt, sollte jedoch für Macnutzer einige Gefahren birgen. Besonders interessant: Der "Virus" funktionierte auf den älteren PowerPCs. Bei Linux erkannten 24 von 32 Scannern den Schädling, unter FreeBSD 23 von 32. Die Panik war groß: Unter Mac OS X erkannte kein einziger Scanner den Schädling! Während die MacLife das noch so hinnahm, waren die Kollegen von Heise.de schon verwunderter. Immerhin gibt es sehr wohl Scanner, die auch unter OS X in der Lage sind, diesen Typus von Virus zu erkennen. Das Problem: Der untersuchte "Virus" war lediglich ein nicht infizierter Träger, gewissermaßen eine ungeladene Waffe. Denn die untersuchten IRC-Bots werden zwar sehr oft für den RST.B-Virus genutzt, jedoch war die OS-X-Version frei von irgendwelchen RST.B-Spuren. Ganz interessant: Auch die Linuxvariante, die von 24 Scannern als schädlich eingestuft wurde, zeigte im genaueren Test keine beunruhigenden Auffälligkeiten. Mittlerweile hat Bojan Zdrnja seine Warnungen revidiert: "Nur weil die bösen Jungs es benutzen, ist es selber trotzdem nicht schädlich".

    RST.B infiziert ausführbare Dateien und kleinere Programme im "/bin"-Verzeichnis, macht aber nicht mehr als sich mit einigen Chaträumen zu verbinden. Das Problem: Der Virus lauscht auf neue Befehle und kann somit seine Aktionen ändern - von schädlichen Angriffen auf das befallene System bis hin zu Massensendungen von Spammails. Der Mac währe mit RST.B ein so genannter "Bot", ein Computer, der auf die Befehle eines Angreifers horcht und meistens für illegale Aktivitäten genutzt wird. Insgesamt geht man davon aus, dass rund ein Viertel der Computer mit Internetanschluss teil eines Botnetzes sind.

    Es bleibt natürlich das Problem, dass theoretisch, unter bestimmten Umständen ein solcher Virus möglich ist. Apple ist über das Problem informiert und soll an einer Lösung arbeiten. Am Ende bleibt jedoch eine viel wichtigeres Fazit: Keine unnötige Panik.
     

    Anhänge:

  2. Jumpy

    Jumpy Rheinischer Winterrambour

    Dabei seit:
    07.01.07
    Beiträge:
    926
    Ich sehe das auch ganz entspannt.
    Wirklich große Sorgen mache ich mir da nicht.
     
  3. James Grieve

    James Grieve Holländischer Prinz

    Dabei seit:
    15.04.07
    Beiträge:
    1.866
    Noch mach ich mir auch keine Sorgen... Aber wie kann man denn prüfen, ob man das Teil hat? Auch wenn es wohl unwahrscheinlich ist.
     
  4. NoaH11027

    NoaH11027 Weisser Rosenapfel

    Dabei seit:
    14.03.06
    Beiträge:
    777
    Das ist die eigentlich interessante Frage. Ich meine mein Mac "wohnt" hinter einer Firewall, aber das muss ja nix heißen. Ich würde auch gern nachschauen wollen ob sich da nicht ein (bis jetzt noch harmloser) Parasit eingenistet hat.

    NoaH
     
  5. idolum

    idolum Pomme au Mors

    Dabei seit:
    23.11.07
    Beiträge:
    856
    Heute sogar einen kleinen Bericht gelesen in unserer TAGESZEITUNG von ner kleinen 10.000 Einwohner Stadt, wo von Viren bei Apple gewarnt wird und fürs surfen Linux empfohlen wird. Ich glaube, ich sollte diesen kleinen Schuppen mal besuchen *Argh*

    Alle nur frustriert, weil sie immer wieder das Speichern auf ihren alten IBM Kisten vergessen und Windows regelmäßig abstürzt :p
     
  6. NoaH11027

    NoaH11027 Weisser Rosenapfel

    Dabei seit:
    14.03.06
    Beiträge:
    777
    Eher das gefährliche Halbwissen das unsere Welt dominiert...

    NoaH
     
    Bier gefällt das.
  7. SilentCry

    SilentCry deaktivierter Benutzer

    Dabei seit:
    03.01.08
    Beiträge:
    3.831
    Ja, "Sicherheit und Apple", das ist für mich ein ganz, ganz heisses Thema.(*)
    Warum keine Virenschutz-Engine, die gleich mit OS X geliefert wird und _nur Macviren_ scanned?

    OK, es gibt derzeit keine (oder einen Trojander zum Selbstinstallieren :.) aber die Engine müsste da sein und direkt vom Appleupdate mit Signaturfiles versorgt werden.
    Intego Virus Barrier funktioniert zwar, aber ich verstehe nicht, warum ich als Mac-User eine hunderttausende Einträge große DB halten muss mit der Chance auf "false positive" (je mehr Signaturen desto wahrscheinlicher werden vergleichsweise die Fehlalarme) wenn es für Mac sowas gar nicht oder nur in Spurenelementdosierung gibt.

    Ich verstehe Apple nicht. Sie hätten die Chance, proaktiv auf eine bekannte Bedrohung zu reagieren, aber was machen sie? Einen pinken iPod nano. Eine Festplatte in eine Airport Extreme einbauen und TimeCapsule nennen. Alles ganz fein, aber man sollte darob doch nicht den Kern vernachlässigen.
    Eine ganz klasse Schalgzeile/Meldung wäre:
    "Erster Apple-Trojaner scheitert an iDefense, dem OS X-Sicherheitssystem das Malware auf behavioristischen Algorithmen hin erkennt und abfängt. Gestern Abend wurde der Schädling "iBot.elf" entdeckt, der sich versuchte, massenweise über eine Sicherheitslücke in Firefox als Drive-by-Infection zu verbreiten. iBot.elf war designed für OS X und Linux, sein Bruder iBot.w32 startete zeitgleich die Verbreitung.
    Die OS X-Version wurde entdeckt. Allerdings nicht wie in der Windowswelt üblich von einem Expertenteam eines Antivirenherstellers nach dem Ausbruch sondern beim Infektionsversuch am OS X durch iDefense. Während die Windowsversion geschätzte 28 Millionen Rechner in der ersten Nacht infizierte, darunter auch einige Firmennetzwerke, und derzeit abermillionen Anwender und einige Administratoren damit beschäftigt sind, Virenscannerupdates einzuspielen die diesen neuen Virus erkennen hat Apple bekannt gegeben, dass etwa 40.000 Anwender iDefense nach selbstverständlicher Nachfrage erlaubt hätten, die Angriffsdetails an Cupertino zu übermitteln. Aus diesen Logs sei ersichtlich, dass iDefense den Trojaner im Ansatz gestoppt und vom System entfernt hatte. OS X-Anwender könnten also beruhigt sein, der Trojaner sei für sie keine Gefahr."​
    (*) Man denke an FileVault ohne 256bit-AES-Option, Timemachine praktisch unbrauchbar mit FileVault, TM sicher nicht zuverlässig auf Cryptocontainer, Screensaver speichert Passphrase im Klartext (unschön, zeigt aber, wie wenig wichtig OS X-Developer Sicherheit nehmen), keine BootHDD-Encryption, keine GUI für's Sanboxing...)
     
    #7 SilentCry, 03.03.08
    Zuletzt bearbeitet: 03.03.08
  8. DesignerGay

    DesignerGay Danziger Kant

    Dabei seit:
    27.07.07
    Beiträge:
    3.897
    @SilentCry

    Du machst es Dir doch relativ einfach, soll sich Apple mal drum kümmern und ich kann dann weiterhin unbesorgt alles öffnen. Es wird nie eine 100% Sicherheit für einen Computer geben der mit dem Internet verbunden ist.

    Auch wenn Apple ein iDefence mit dem OS X anbieten würde, die Haker hätten bald die Funktionsweise herausgefunden und würden entsprechende Software entwickeln um das ganze zu Umgehen. Auf einen Schädling wird es meiner Ansicht nach immer nur eine Reaktion geben.

    Auch mit einem Mac sollte man sich nicht in 100%iger Sicherheit wiegen, solange man seinen Computer mit bedacht betreibt kann man schon viel preventiv vermeiden.
     
  9. SilentCry

    SilentCry deaktivierter Benutzer

    Dabei seit:
    03.01.08
    Beiträge:
    3.831
    Das schrieb ich nicht. Im Gegenteil, ich schrieb sogar explizit als Beispiel "Drive By"
    Werbebanner sind so ein Einfallstor. Da ist nichts mit dem Stereotyp, dass sich nur besoffene Pornosucher oder Raubmordkopierer einen Trojaner einhandeln. Das kann jeden treffen, potentiell.

    Kannst Du mir sagen, warum Sicherheitsdiskussionen immer in die "100%-Sackgasse" münden müssen?
    "Schnall Dich an, mein Kind!"
    "Ach, Papi, es wird nie 100% Sicherheit in einem fahrenden Auto geben."​

    Ich glaube nicht an die Allmächtigkeit der Hacker. Auch die kochen mit Wasser. Und wie wir wissen, dauert es seine Zeit, bis Wasser kocht. Es wurden früher einfache Sperrhaken augehebelt, dann die primitiven Schlösser, dann die Zylinderschlösser ... trotzdem versperrt jeder seine Haustür und trotzdem macht es Sinn, immer neue Schlösser zu konstruieren.

    D.h. Du hältst von einer Verhaltensmusteranalyse nichts?

    Auch ich bin ein großer Fan von Brain 2.0. Keine Frage. Dennoch sollte man den Hersteller eines OS nicht aus der Pflicht nehmen, auf höchstem Niveau mit absoluter Priorität die Datensicherheit seiner Kunden und die Privacy sicher zu stellen.
     
    ImperatoR gefällt das.
  10. Gastone

    Gastone Bismarckapfel

    Dabei seit:
    16.08.06
    Beiträge:
    145
    Eine Infektion müsste man indirekt über LittleSnitch mitbekommen. Der Virus scheint laut Bericht Verbindungen zu Chats aufzubauen. Diesen Verbindungsaufbau sollte man über das genannte Tool mitbekommen, oder?
     
  11. NoaH11027

    NoaH11027 Weisser Rosenapfel

    Dabei seit:
    14.03.06
    Beiträge:
    777
    @SilentCry
    ...und was hat dasmit der aktuellen Meldung zu tun?

    Ich finde deine iDefense Idee ja schön, hat aber eigentlich nichts mit der aktuellen Attacke zu tun, mal abgesehen davon das sich beide Themen irgendwie um Viren/Bots drehen.

    Ich denke für iDefense bist du in einem extra Thread besser aufgehoben, oder?

    Eigentlich sollte man das, grundsätzlich sollte mein Router sich auch melden da ich IRC mit einer Warnung bei Zugriff durch unauthorisierte IP-Adressen konfiguriert habe und IRC nutze ich nur aus einer FreeBSD VM heraus.
    Mich würde aber interessieren was wohin kopiert worden ist und wie es funktioniert. Schade das es darüber keine Auskunft gibt.

    :D Ist ja fast ein Anreiz das mal in einer VM auszuprobieren ;)

    NoaH
     
  12. SilentCry

    SilentCry deaktivierter Benutzer

    Dabei seit:
    03.01.08
    Beiträge:
    3.831
    Stimmt schon, tangiert das Thema nur im Bereich eben der Sicherheit von Macs und Viren. Ich fand halt, hier könnte ein Hersteller mal PROAKTIV punkten, denn die meisten Mac-User haben vermutlich derzeit keinen Scanner am System, d.h. sollte es mal einen Outbreak geben, trifft der Virus auf 90% ungeschützte Macs selbst _falls_ aktuell gehaltene OS X-Scanner ihn recht rasch mit Signatureupdate erkennen würden. Deswegen fand ich es besser, eine solche Engine gleich jetzt, wo die ganzen Horrormeldungen _noch_ pure Übertreibung sind, im OS X zu verankern.

    Man kann die Knarre nicht erst kaufen, wenn man überfallen wird, man muss vorher schon sehen, dass die Gegend in der man sich aufhält immer mehr verkommt und sich vorbereiten.

    Aber ok, hast Recht, ich ziehe mich aus diesem Thread zurück.
     
  13. JackRyan

    JackRyan Freiherr von Berlepsch

    Dabei seit:
    28.10.05
    Beiträge:
    1.098
    *gähnt* Auch jemand eine Tasse Kaffee?
     
  14. philipxD

    philipxD Friedberger Bohnapfel

    Dabei seit:
    22.12.07
    Beiträge:
    532
    hoffe, dass AnitVir den tollen, kostenlosen Virenscanner auch mal für Mac OS X rausbringt... Der ist super...
     
  15. Prak

    Prak Gast

  16. julien1204

    julien1204 Oberdiecks Taubenapfel

    Dabei seit:
    10.04.07
    Beiträge:
    2.728
    aber auch wenn Viren fuer OS X kommen sollten...... mittels Time Machine kann man wirklich jeden Virus zunichte macht indem man eben einfach den letzten Stand neu aufspielt.....dauert eben im schlimmsten fall nur ein wenig....
     
  17. SilentCry

    SilentCry deaktivierter Benutzer

    Dabei seit:
    03.01.08
    Beiträge:
    3.831
    Ähem... ich wollte mich zwar aus dem Thread zurückziehen aber...
    Es ist doch eher das Ziel, eine Virus/Trojaner-Infektion zu VERHINDERN. Was soll denn TM da helfen, wenn Du mangels Scanner gar nicht weisst, dass Du einen Virus hast? Du backupst sogar automatisch fröhlich weiter die infizierten Dateien, die, falls Du dann irgendwann draufkommst vielleicht gar nicht mehr zu retten sind.
    Also, TM mit bzw trotz all seinen Schwächen, in allen Ehren, aber als Antivirusgegenmaßnahme ist sie wohl fehl am Platz.
     
  18. bloodworks

    bloodworks Strauwalds neue Goldparmäne

    Dabei seit:
    01.09.06
    Beiträge:
    644
    schmunzel.. genau ich setzte mein System komplett auf den Stand wie vor X Tagen zurück. In der Hoffnung allerdings dass ich den Virus nicht mitgebackupt habe...

    Jedenfalls ist es so, dass es für Linux/Unix System von der Konzeption des OS nicht so einfach ist einen wirkungsvollen Virus zu schreiben, wegen der Rechtevergabe , keine Registry etc. Tatsache ist aber auch, dass es in speziellen Fällen und unter Ausnützung von eventueller, wenn auch kleiner, Lücken möglich sein kann einen interessanten Virus/Schadsoftware zu entwickeln. Und das besonders, da immer mehr Leute vor den Kisten sitzen, die gar keine Ahnung haben und einfach mal alles installieren.
    Und deshalb sollte man zumindest nicht gleich zusammengefalltet werden, wenn man mal irgendwelche Gedanken zum Schutz vor solcher Software auftauchen.

    Ich bin im übrigen der Meinung, dass der beste Schutz vor Schadsoftware der Konzeptuelle ist und nicht unbedingt der durch ein Programm. Allerdings wäre ich auch mal so langsam dafür, dass Apple eine echte Homephoner Firewall einbaut. Achso und bis dahin: einfach mal net alles installieren oder mal in Log files schaun.
    gruß
     
  19. bluefisch200

    bluefisch200 Bismarckapfel

    Dabei seit:
    08.10.07
    Beiträge:
    144
    ISt es auch nicht nur das Sicherheitssystem ist sehr gut, genau wie bei Linux, und mit Vista ist M$ auf auf gutem Weg dazu. Nur vieleicht ein bisschen zu extrem.:p
     
  20. philipxD

    philipxD Friedberger Bohnapfel

    Dabei seit:
    22.12.07
    Beiträge:
    532
    und wie bekommt man jetzt diesen virus?
     

Diese Seite empfehlen