[10.8 Mountain Lion] Lauchpad.app - Malware?

[daa]

Hallo zusammen

Heute meldete mir LitteSnitch nach einem Neustart, dass eine Software namens "Lauchpad.app" eine ausgehende Verbindung zu einem Server herzustellen versuchte. Ertsmal habe ich das beinahe übesehen, da ich dies für eine systemeigene Komponente, das Launchpad, hielt. Jedoch fiel mir der Schreibfehler auf (das "N" fehlt) und ich ging der Sache auf den Grund.

Ich fand in den Programmen eine App Namens "Lauchpad.app", welche da irgendwie nicht hingehört. Der Paketinhalt machte mich nicht sonderlich viel schlauer - die lesbaren Dateien waren irgendwie "seltsam" und teilweise mit schwachsinningen Infos gefüllt.

Vielleicht möchte sich das ein jemand anschauen?

Ich hab keine Ahnung, was die App genau tut und wie diese da hin kam. Gerne wüsste ich mehr.

Ausgehende IP: 193.107.16.205

Anhang anzeigen lauchpad_pass.zip
(Passwort: 1234)

PS: Virustotal fand bei den hochgeladenen Dateien keine Malware.

Danke & Gruss

-----

Mein System:
iMac, 27" mid 2011
Prozessor 3.1 GHz Intel Core i5
Speicher 16 GB 1333 MHz DDR3
Grafikkarte AMD Radeon HD 6970M 1024 MB
Software OS X 10.8.4 (12E55)

 

[echo.park]

Vielleicht blöde Frage, aber hast du das schon gegoogelt? Klingt auf jeden Fall verdächtig.

Hat die Datei ein Download-Flag von Safari?

// Edit:

Ich habe eben selbst mal gegoogelt, aber nichts sinnvolles gefunden. Google korrigiert ja zudem den "Tippfehler".

// Edit 2:

Es ist wohl erstmal besser, wenn du die IP-Adresse nicht als Link postest.

 

[MacMark]

Das Programm möchte in /Applications schreiben, was keine nette Idee ist. Ich habe die App in einer Sandbox gestartet, die das Schreiben von Dateien und Netzwerk verbietet:

sandbox-exec -p "(version 1) (allow default) (deny network*) (deny file-write*) (debug deny)" Lauchpad.app/Contents/MacOS/tl

In den Logs erscheint dann:

tl(9145) deny file-write-create /Applications/Lauchpad.app

Process:         tl [9145]
Path:            /Users/macmark/Downloads/Lauchpad.app/Contents/MacOS/tl
Load Address:    0x10c26d000
Identifier:      trolltools.biz.tl

 

[salome]

Ist das das interessante Ergebnis: trolltools.biz.tl?
Was soll der TE nun tun? Genügt in den Trash ziehen?

@daa, wenn du einen Virenscanner auf OSX installiert hast, entsorge ihn schleunigst. Schau auf der Website nach, wie du das ohne Restmüll tun kannst. Auch wenn immer wieder ein Ungläubiger seine Zweifel Kind tut: auf dem Mac ( OS X) gibt es keine Viren und deshalb vernichten Virenschutzprogramm mitunter Systemrechte. Das willst du sicher nicht.

Tauscht du Dateien mit Windows? Möglicherweise kommt dieser Eindringling von dort.
Salome

 

[echo.park]

Wieso sollte er von Windows kommen, wenn es eine unter OSX lauffähige .app ist?

Natürlich ist trotzdem interessant, wo die herkommt.

Little Snitch ist wohl doch nicht so unnütz.

 

[MacMark]

Ein Blick auf die strings im Binary zeigt dieses:

goldcoast:Downloads macmark$ strings Lauchpad.app/Contents/MacOS/tl 
mainBundle
bundlePath
fileURLWithPath:
defaultManager
fileExistsAtPath:
copyItemAtPath:toPath:error:
sharedWorkspace
openFile:withApplication:
sleepForTimeInterval:
count
objectAtIndex:
path
compare:
URLWithString:
requestWithURL:
setHTTPMethod:
dataUsingEncoding:
setHTTPBody:
sendSynchronousRequest:returningResponse:error:
alloc
initWithData:encoding:
pathExtension
isEqualToString:
stringWithFormat:
dataWithContentsOfURL:
stringByAppendingPathComponent:
stringByReplacingOccurrencesOfString:withString:
removeItemAtPath:error:
writeToFile:atomically:
init
length
substringWithRange:
cStringUsingEncoding:
appendFormat:
bytes
componentsSeparatedByString:
objectAtIndexedSubscript:
applicationShouldTerminate:
application:openFile:
application:openFiles:
application:openTempFile:
applicationShouldOpenUntitledFile:
applicationOpenUntitledFile:
application:openFileWithoutUI:
application:printFile:
application:printFiles:withSettings:showPrintPanels:
applicationShouldTerminateAfterLastWindowClosed:
applicationShouldHandleReopen:hasVisibleWindows:
applicationDockMenu:
application:willPresentError:
application:didRegisterForRemoteNotificationsWithDeviceToken:
application:didFailToRegisterForRemoteNotificationsWithError:
application:didReceiveRemoteNotification:
application:willEncodeRestorableState:
application:didDecodeRestorableState:
applicationWillFinishLaunching:
applicationDidFinishLaunching:
applicationWillHide:
applicationDidHide:
applicationWillUnhide:
applicationDidUnhide:
applicationWillBecomeActive:
applicationDidBecomeActive:
applicationWillResignActive:
applicationDidResignActive:
applicationWillUpdate:
applicationDidUpdate:
applicationWillTerminate:
applicationDidChangeScreenParameters:
isEqual:
hash
superclass
class
self
zone
performSelector:
performSelector:withObject:
performSelector:withObject:withObject:
isProxy
isKindOfClass:
isMemberOfClass:
conformsToProtocol:
respondsToSelector:
retain
release
autorelease
retainCount
description
debugDescription
window
setWindow:
_window
load
setObject:atIndexedSubscript:
objectForKeyedSubscript:
setObject:forKeyedSubscript:
setObject:forKey:
objectForKey:
addObject:
replaceObjectAtIndex:withObject:
drain
POST
%@%@
file.
.zip
.app
%d.%d.%d
IODeviceTree
serial-number
%s%s
/Applications/Lauchpad.app
http://193.107.16.205/tl/auth.php
uid=%@&pc=%@&user=%@&os=mac&osv=OS X %@&lang=Objective C
uid=%@
dlex
deinstall
window
T@"NSWindow",V_window
{objc_method_description=:*}16@?0:8
_object_setInstanceVariable
_object_setIvar
_object_copy
_objc_retain
_objc_retainBlock
_objc_release
_objc_autorelease
_objc_retainAutorelease
_objc_autoreleaseReturnValue
_objc_retainAutoreleaseReturnValue
_objc_retainAutoreleasedReturnValue
_objc_storeStrong
_objc_autoreleasePoolPush
_objc_autoreleasePoolPop
__TEXT
__LINKEDIT
AppDelegate
NSApplicationDelegate
NSObject
__ARCLite__
__ARCLiteIndexedSubscripting__
__ARCLiteKeyedSubscripting__
Q24@0:8@16
Q24@0:8@"NSApplication"16
c32@0:8@16@24
c32@0:8@"NSApplication"16@"NSString"24
v32@0:8@16@24
v32@0:8@"NSApplication"16@"NSArray"24
c24@0:8@16
c24@0:8@"NSApplication"16
c32@0:8@16@"NSString"24
Q44@0:8@16@24@32c40
Q44@0:8@"NSApplication"16@"NSArray"24@"NSDictionary"32c40
c28@0:8@16c24
c28@0:8@"NSApplication"16c24
@24@0:8@16
@"NSMenu"24@0:8@"NSApplication"16
@32@0:8@16@24
@"NSError"32@0:8@"NSApplication"16@"NSError"24
v32@0:8@"NSApplication"16@"NSData"24
v32@0:8@"NSApplication"16@"NSError"24
v32@0:8@"NSApplication"16@"NSDictionary"24
v32@0:8@"NSApplication"16@"NSCoder"24
v24@0:8@16
v24@0:8@"NSNotification"16
Q16@0:8
#16@0:8
@16@0:8
^{_NSZone=}16@0:8
@24@0:8:16
@32@0:8:16@24
@40@0:8:16@24@32
c16@0:8
c24@0:8#16
c24@0:8@"Protocol"16
c24@0:8:16
Vv16@0:8
@"NSString"16@0:8
@"NSWindow"
@24@0:8Q16
v32@0:8@16Q24
zPLR

Auf jeden Fall sind das Anfänger, da sie synchrone Requests verwenden:

sendSynchronousRequest:returningResponse:error

Sie rufen offenbar

http://193.107.16.205/tl/auth.php

auf. Ferner ist es anscheinend ein POST-Request. Parameter sind anscheinend

uid=%@&pc=%@&user=%@&os=mac&osv=OS X %@&lang=Objective C

%@ sind Platzhalter für die tatsächlichen Werte.

Die Tatsache, daß es in /Applications schreiben will (wahrscheinlich sich selbst dorthin kopiert), reicht mir schon, um es als Malware anzusehen. Es liegt dann dort irreführend neben dem origialen "Launchpad.app" und hofft auf Verwechselung.

 

[echo.park]

Hast du eine wage Vorstellung davon, wie diese .app auf den Mac des Betroffenen gelangt sein könnte? Was sollte man als Betroffener tun?

Laut Eingangspost wurde diese .app offensichtlich beim Neustart des Mac mit gestartet, an der Stelle meldete sich dann Little Snitch. Ist es zu diesem Zeitpunkt noch damit getan diese .app einfach zu löschen, oder sollte man im äußersten Fall seinen Mac "platt machen"?

// Edit:
Macht es einen Unterschied, ob ein Admin die .app startet, im Gegensatz zu einem normalen User?

 

[MacMark]

Admins können unter /Applications neue Programme ablegen, normale User nicht. "Lauchpad" kopiert sich offenbar unter /Applications, sobald es gestartet wird.

Möglicherweise ist die App in den Login Items für den User eingetragen. Oder es gibt einen launchd-Eintrag oder cronjob, der die App startet.

Hier ist eine kleine Liste von Terminalbefehlen, um ein paar Infos über das System zu bekommen und was so gestartet wird und läuft:
http://www.macmark.de/osx_terminal.php#invisible_processes

Da sie sleepForTimeInterval: verwendet, macht sie auch selbst irgendwas periodisch. Denkbar ist, daß die App alle paar Minuten probiert, ob sie per sudo auf root eskalieren kann, weil man in Standardeinstellung 5 Minuten nach sudo sein Paßwort nicht mehr eingeben muß. Siehe:
http://www.macmark.de/osx_faqs.php#admin

Auf den Rechner gekommen ist die App möglicherweise durch einen Drive-By-Download.

Plattmachen würde ich den Rechner nicht, weil man Infektionen auf OS X ganz gut auffinden kann.

 

[echo.park]

Also sollte man lieber nicht als Admin arbeiten? Diese Frage taucht ja immer wieder auf. Wobei das dann in diesem Fall wohl nur die letzte Hürde verändert, am eigentliche Drive-By-Download ändert das ja nichts, oder?

// Edit:
Ich weiß, die Frage ist sowas von durchgekaut, aber irgendwann kommt evtl. der Zeitpunkt, an dem man das überdenken sollte... oder eben doch nicht.

 

[salome]

Die Frage wird immer wieder eindeutig beantwortet: der 2.User ist Admin, der Hauptuser ist ein gewöhnlicher, eben aus den seit zehn Jahren durchgekauten Gründen.
Du sollst nicht als Admin arbeiten!
Da du als nicht Admin immer ein Passwort eingeben musst, kannst du doch nichts ahnungslos herunterladen.
Aber das weißt du doch ohnehin alles.
Salome

 

[echo.park]

Ich darf zitieren:

Spätestens seit 10.7 Lion ist das Arbeiten als Admin-User vertretbar.

http://macmark.de/osx_faqs.php?PHPSESSID=93d983b2de8f47ce6d94bfdcf6c636e0#admin

 

[salome]

Vertretbar. Das heißt aber nicht geraten.

Salome

 

[MacMark]

Der Sicherheitsgewinn zwischen Normaluser und Admin war, da Admins nie Systemrechte hatten, im Vergleich zu anderen Systemen auf OS X schon immer nicht so groß. In der aktuellen Version bleiben als wesentliche Unterschiede, daß Admins neue Programme in /Applications installieren können und alle Apps in dem Verzeichnis, die nicht aus dem App Store kommen, verändern können. Und nur Admins können bestimmte feste Aktionen des Systems autorisieren (genehmigen), diese aber nicht verändern. Und nur Admins dürfen von ihrem User-Account per sudo auf den root-Account wechseln. Das ist ein echter Benutzerwechsel; der Admin bekommt dadurch nichts.

Drive-By-Downloads sind möglich durch Sicherheitsfehler im Browser oder seinen Plugins, wodurch eine besuchte Seite einen Download ohne weitere User-Hilfe durchführen kann. Diese Art unbemerkter Downloads können unter jedem User passieren und werden in der Regel nicht markiert vom Browser, weil der das auch nicht mitbekommt, weil der Download nicht duch die Download-Funktionen des Browsers durchgeführt wird, sondern durch von der Seite in den Browser oder seine Plugins eingeschleusten Code. Ohne die Markierung weiß das System nicht, daß die Datei aus dem Netz kam und warnt darum auch nicht beim Öffnen.

 

[daa]

Erstmal vielen Dank für die zahlreichen Antworten - ich habe Eure interessante Diskussion mit Freude gelesen.

Identifier:      trolltools.biz.tl

Beim durchschauen der Dateien ist mir ebenfalls dieses "trolltools" aufgefallen - damit konnte ich jedoch nichts anfangen, auch Google weiss dazu wenig.

@daa, wenn du einen Virenscanner auf OSX installiert hast, entsorge ihn schleunigst.

Als alter Windows-Fuzzi, habe ich natürlich ein AntiVirus installiert. Ich nutze ClamXav und im Hintergrund läuft der ClamXav Sentry. Allerdings musste ich feststellen, dass dieser die ganze Zeit über nicht gelaufen ist und der Autostart-Eintrag in den Anmeldeobjekte verschwunden war. Musste wohl irgendwie mal rausgeflogen sein (evtl. nach einem Update?) und lief dann seit einem Neustart nicht mehr.

Vermutlich wurde die Diskussion schon oft geführt - ich werde danach suchen.

Nachtrag: ClamXav deinstalliert - alles überzeugend.

Tauscht du Dateien mit Windows? Möglicherweise kommt dieser Eindringling von dort.

Ja, ich nutze gelegentlich Parallels, da ich 1-2 Software habe welche ich nicht ersetzen kann (leider). Ein Datenaustausch findet jedoch so gut wie keiner statt und die Drag-and-drop Funktionalität ist deaktiviert. Der Austausch findet über einen Share-Ordner statt.

Hast du eine wage Vorstellung davon, wie diese .app auf den Mac des Betroffenen gelangt sein könnte?

Ist die Frage an mich gerichtet? Leider nein - muss aber ganz frisch sein, denke ich.

...oder sollte man im äußersten Fall seinen Mac "platt machen"?

Danke für deine Fragen - das sind genau die Art Fragen, die ich gestellt hätte.

Ich habe die App mit dem AppCleaner gelöscht und danach immer wieder nach Teilen von der App gesucht. Bisher scheint das Ding soweit weg zu sein. Ich habe auch die Logfiles wie von MacMark verlinkt erstellt und durchgeschaut und die Anmeldeobjekte geprüft - alles nur bekannte Objekte bzw. nichts verdächtiges.

Möglicherweise ist die App in den Login Items für den User eingetragen. Oder es gibt einen launchd-Eintrag oder cronjob, der die App startet.

Zum Glück soweit alles negativ.

Auf den Rechner gekommen ist die App möglicherweise durch einen Drive-By-Download.

Wie ist sowas möglich? OK, ich werde erst die Suche bemühen..

Edit: Danke, MacMark, für die Ausführung.

Plattmachen würde ich den Rechner nicht, weil man Infektionen auf OS X ganz gut auffinden kann.

Da bin ich beruhigt. Das nächste "Plattmachen" ist beim Release von "Mavericks" geplant.

 

[echo.park]

Wie gut, dass du Little Snitch installiert hast, sonst hättest du vermutlich noch eine ganze Zeit lang nichts davon bemerkt. Abgesehen davon, dass du so den Datenverkehr abwürgen konntest. Besser wie jedes Antiviren-Programm, funktioniert es doch auch ohne "Definitionen", die eigentlich nie aktuell sein können.

Klingt gerade wie ein Werbe-Post, aber ich finde OSX selbst sollte sowas mit an Bord haben!

 

[salome]

Virustotal fand bei den hochgeladenen Dateien keine Malware.

Ich dachte, "Virustotal" ist ein Scanner. Deshalb habe ich aufgeheult.
ClamXav ist ein harmloses Tool und wenn es dich beruhigt, dann kannst du es wieder laden, denn ClamXav greift nicht ins System ein. Wenn du den Scanner aber immer laufen lässt, dann bremst er (ob merkbar oder nicht, weiß ich nicht. Ich habe keine Virenphobie, weil ich niemals auf Windows gearbeitet habe.)

Wenn dein Rechner keinerlei Probleme hat /macht, musst du auch, wenn Mavericks fertig ist (10.9.2 frühestens), nicht platt machen. Ich habe seit 10.6 nicht neu formatiert – davor gabs ein anderes MBP.
Salome

 

[echo.park]

Er meint: https://www.virustotal.com/de/

Dort kann man Dateien hochladen, die dann von über 40 Anti-Viren-Engines gecheckt werden, darunter alle "namhaften" Hersteller.



Ob dort aber überhaupt auch auf OSX-Malware geprüft wird, ist mir unbekannt. Durchaus möglich, muss aber nicht so sein.

 

[salome]

Danke. Kannte ich nicht, da wie gesagt, keinerlei Phobie. Da war ich aber total daneben. So eine externe Prüfung kann nicht schaden, aber auch nicht nützen. Maleware findet kein Virenscanner, scheint mir. Behauptet wird es zwar

… Viren, Würmern, Trojanern und jeglicher Art von Schadsoftware…

Aber wie das Beispiel von daa zeigt …

@daa, wenns dich beruhigt kannst sowohl mit der Site Virustotal als auch mit ClamXav herumspielen.

 

[echo.park]

Also zumindest in der Windows-Welt hat VirusTotal eine sehr gute Trefferquote, fasst es doch 40 Virenscanner von verschiedenen Herstellern zusammen. Also wenn man da eine Datei hochlädt, ist die Wahrscheinlichkeit, dass einer dieser Virenscanner die Datei auch erkennt, sehr hoch.

Wie gesagt, ob dort auch nach OSX-Malware gescannt wird, weiß ich nicht. Und selbst wenn, die Sache mit der Treffergenauigkeit bei OSX im Vergleich zu Windows ist eine ganz andere. Bis ein Virenscanner überhaupt "mitkriegt", dass auf zwei Macs weltweit eine neue Malware aufgetaucht ist und seine Definitionen aktualisiert, ist in annehmbarer Zeit fast nie gegeben. Das ist kein Vergleich zur Windows-Welt. Deshalb sehe ich auch keinen Sinn in einem Virenscanner für den Mac, abgesehen davon, dass die an sich Schrott sind, oder dass es nur wenige Bedrohungen für den Mac gibt, der Hauptgrund ist, dass in der Mac-Welt die Definitionen der Scanner einfach VIEL zu langsam aktualisiert werden. Da ist man mit Little Snitch besser dran, was das Enttarnen verdächtiger Aktivitäten angeht, auch wenn das natürlich gar kein Virenscanner ist.

Bei Mac ist es einfach so, wenn man sich da was einfängt, dann gehört man zu einer extrem kleinen Gruppe weltweit mit dem gleichen Schadcode. Und zu diesem Zeitpunkt gibt es höchstwahrscheinlich noch keinen Virenscanner, der dass dann auch erkennen kann. Also nützt dieser einem dann auch nichts.

Wohingegen bei Windows eine neue Sache rauskommt, dann gleich Tausende sich das einfangen, die Virenscanner-Hersteller das rasch bemerken und die Definitionen liefern. Die haben ja hunderttausende Samples in der Woche in ihren Laboren.

 

[salome]

Wir sind aber hier in der Mac-Welt. Es gibt keine Viren auf dem Mac, was es an Trojanern gibt, kommt von Windowsrechnern, schadet nur diesen, aber kaum dem Mac. Die Lücken werden sofort geschlossen. Was diese Maleware des TE ist und wie sie auf seinem Rechner gelandet ist, weiß wie mir scheint, noch niemand.
Ich verabschiede mich jedoch aus der ewig gleichen Virusdebatte. Die sollen andere führen.
Salome