ARCHIV 1999-2006

ARCHIV :: # 2974

Rechtzeitig zum Kinostart von "Troja"

Wer keine Trojaner hat, erfindet welche.

Autor: flo - Datum: 12.05.2004

Wie gut dass es Intego "The Macintosh Security Specialist" gibt. Denn die warnen uns unbedarfte OS-X-User vor Trojanern, bevor es sie gibt (man erinnere sich ein paar Wochen zurück), oder auch vor Trojanern, die gar keine sind. In einer eiligen Mitteilung berichtet Intego heute von einem Leser der Macworld UK, der (schon vor zwei Tagen, oh Gott, ist mein Rechner schon infiziert??) über Gnutella eine Applikation heruntergeladen hat, die sich als Installer für Microsoft Office 2004 ausgibt. Nein, um Raubkopien geht es nicht (wobei sich Microsoft sicher die Adresse des Halunken hat geben lassen), vielmehr darum, dass die nur 108 Kilobyte große Datei - surprise, surprise - natürlich kein Installer ist. Sondern ein hinterhältiges AppleScript Applet, das in bester Zewa-Manier mit einem Wisch alles weg macht, was sich so im User-Ordner tummelt. Das Ganze dann als Trojaner zu beschimpfen ist sogar in paranoider Tageslaune etwas über das Ziel hinausgeschossen, schließlich handelt es sich nicht um versteckten Code innerhalb einer anderen Anwendung, sondern schlicht um ein AppleScript, das im Dateinamen nicht so ganz direkt ehrlich ist (wobei man, um auf diesen flachen Witz nicht zu verzichten, durchaus darüber streiten könnte, ob ein Installer für MS Office nicht schon Warnung genug ist). Uns bestätigt das nur einmal mehr, dass wo Microsoft draufsteht, auch so oder so Unheil drin ist.

Kommentare

Jaja

Von: Karl Schimanek | Datum: 12.05.2004 | #1
kann's schon nicht mehr hören!

Intego wiederholt so oft die Meldung bis n echter Trojaner auftaucht. Dann können sie ja sagen, seht wir hatten Recht....

UNd wenns wirklich brennt ...

Von: Rüdiger Goetz | Datum: 12.05.2004 | #2
Hallo,

Wenn einer dauert Feuer Feuer schreit, glaubt ihm keiner mehr wenn es mal wirklich brennt. Insofern
tut sich Intego und uns keinen Gefallen.

Bis dann

R"udiger

Intego macht sich lächerlich

Von: RollingFlo | Datum: 12.05.2004 | #3
Wer solches Marketing nötig hat, steht entweder kurz vor der Pleite oder ist generell nicht ganz dicht. Man kann ja warnen vor der Datei, aber wo da das "Trojan Horse" ist, erschließt sich ja wohl nur Intego selbst.
Zudem frage ich mich, wie deren Software real vor solchen Dingen schützen soll. Wer auf fremde Programme doppelklickt, tut das eben, auch wenn der Virenscanner mitläuft. Da man diesen Trick beliebig abwandeln kann, ist jedes Scannen nutzlos. So oft können die ihre Signaturdatenbanken gar nicht updaten.

Ne, Intego, tut mir leid, aber das ist alles mehr als schwach.

Wer braucht schon Intego??

Von: tonidigital | Datum: 13.05.2004 | #4
Also ich nicht ;-)

Intego Seite down?

Von: overdoze | Datum: 13.05.2004 | #5
Bei mir zumindest. Haben die zuviel mit Apple Script rumgespielt? ;-)

Eigene Malware

Von: Martl | Datum: 13.05.2004 | #6
Servus.

Intego scheint mir derart vernarrt darauf zu sein den ersten Mac-Virus/-Wurm/-Trojaner/-Rootkit zu finden, dass sie wahrscheinlich bald selber einen schreiben.

Vielleicht probieren sie es ja auch schon und bekommen es einfach nur nicht hin? ;-)

Martin

Simples Shell Script

Von: Makko | Datum: 13.05.2004 | #7
Es handelt sich um ein einfaches AppleScript mit einem simplen do shell script "rm -rf ~" drin, und ein Microsoft Icon draufgepastet. Mehr nicht. Mac OS X Hints liefert die Details, während Macworld UK und Intego aus ziemlich durchsichtigen Gründen nur FUD verbreiten. Wieder zwei neue Einträge auf meiner persönlichen Boykottliste ...

Doch Trojaner?

Von: Thorben | Datum: 13.05.2004 | #8
Also ich glaube laut Wikipedia ist es ein Trojaner:

"Als Trojanisches Pferd oder umgangssprachlich auch Trojaner (engl. Trojan - fälschlicherweise, weil die Trojaner ja selbst die Opfer des Trojanischen Pferdes geworden sind) bezeichnet man in der Computersprache auch ein Fernwartungsprogramm, das speziell für bösartige Zwecke eingesetzt wird.

<<Im einfachsten Fall handelt es sich bei einem Trojanischen Pferd um ein Computerprogramm, das etwas völlig anderes tut, als seine Beschreibung verspricht.>> Das Trojanische Pferd kann "huckepack" mit einem anderen Programm auf den Rechner des Anwenders gelangen und sich im Schatten des eigentlich gewünschten Programms installieren."

Ein Trojaner

Von: popoman | Datum: 13.05.2004 | #9
Ein Trojaner macht aber eine Hintertür für Fernzugriffe übers Internetz auf. Genau das macht Dieses Skript nicht. Ausserdem verbreitet es sich nicht selbst weiter.

@popoman

Von: Patrick | Datum: 13.05.2004 | #10
Nene, Thorben hat schon recht, mit einem Trojaner wird ja ein "böses" Programm in das System unter dem Deckmantel eines "guten" Programms eingeschleust. Was der eingeschleuste Teil dann tut, ist eine andere Sache. Mittlerweile ist der Trojaner halt zum Synonym für diese Backdoor-Geschichte geworden. Grundsätzlich ist ein Trojaner IMHO ein eigenständiges Programm, das mit einem anderen "mitgeliefert" wird, nicht nur eine Schadroutine.

Zur Intego-Meldung: ich setz' jetzt ein Applescript auf Gnutella mit dem Namen "dont_execute_this_(tiger)" und ich bin sicher, daß es genügend Leute öffnen werden...

Hm, gestern beginnt..

Von: Michael Kreuzer | Datum: 13.05.2004 | #11
..die Auslieferung von OvX2004, aber vorgestern lädt jmd einen Installer <1MB runter. Kann man nur sagen daß Dummheit schon immer bestraft wurde.

Um die Diskussion einzugrenzen, das Programm ist per Definition wirklich ein Trojaner.

Mein Namensvorschlag wäre ppc.osx.troj.ovx04inst-shellscript

Das Einfachste wäre wenn ein Mechanismus der vorbeugt, indem die Ausführung eines Scripts das Schaden anrichten kann (enthält rm, cp, mv ... usw. usf.) mit Warnhinweis und Kennwortabfrage versieht.
("Das Programm $Programmname will ein Script ausführen das Dateizugriffe beinhaltet. Wenn Sie sicher sind daß dieses Script keinen Schaden anrichtet und Sie der Quelle von der es stammt vertrauen können geben Sie ihr Kennwort ein um die Ausführung zu bestätigen und fortzufahren.")

Gruß,
Michael

Begriffsdefinition

Von: flo (MacGuardians) | Datum: 13.05.2004 | #12
Man kann darüber streiten, ob das nun wirklich schon ein Trojaner ist oder nicht. Entweder man bezeichnet mit einem Trojaner einfach ein Programm/Applet (irgendwas ausführbares), welches, und sei es nur durch einen falschen Dateinamen, vorgibt, etwas anderes zu tun. Dann wäre das hier ein Trojaner, ja.
Man könnte auch die Grenzen etwas enger ziehen und sagen, ein Trojaner muss außer dem Schädlingscode wenigstens noch irgendwas anderes, ihn umgebendes und versteckendes mitbringen (außer dem Dateinamen ;). Dann wäre das hier keiner.

Es bleibt aber so oder so dabei, dass dieses Dingens ein Witz ist und zudem nicht, wie Intego behauptet, eine ernste Sicherheitslücke in OS X aufdeckt (dass nämlich wegen des UNIX-Unterbaus kritische Befehle sehr leicht ausgeführt werden können und AppleScript keinen Schutz vor so etwas bietet). Es wird hier rein gar kein Leck ausgenutzt, das Teil löscht Daten - das ist zwar übel, aber wenn man Dateien nun mal löscht, dann löscht man sie - das ist ein recht elementares "Feature" eines Systems. Da brauche ich kein Intego-Produkt, das mich daran hindert (und mich würde tatsächlich interessieren, wie sie das verhindern wollen).

Kein Trojaner

Von: atosch | Datum: 13.05.2004 | #13
ist kein trojaner:

>Als Trojanisches Pferd [...] bezeichnet >man in der Computersprache auch ein >Fernwartungsprogramm, das speziell >für bösartige Zwecke eingesetzt wird.

Ein Fernwartungsprogramm öffnet per Definition eine Verbindung nach außen.

@atosch

Von: Patrick | Datum: 13.05.2004 | #14
<besserwissermode>
<<Im einfachsten Fall handelt es sich bei einem Trojanischen Pferd um ein Computerprogramm, das etwas völlig anderes tut, als seine Beschreibung verspricht.>>
</besserwissermode>

Damit sollt's aber genug sein...

Nennen wir's doch...

Von: flo (MacGuardians) | Datum: 13.05.2004 | #15
...ein trojanisches Pony. Eine echte Fälschung eines trojanischen Ponys.

@Patrick

Von: Michael Kreuzer | Datum: 13.05.2004 | #16
Richtig

@ flo

Von: johngo | Datum: 13.05.2004 | #17
Also für mich - als Laien - klingt das nicht beruhigend, wenn ein Script einfach nur löscht ohne das ich einen Button "löschen" gedrückt habe!

---

Und ausserdem denke ich mir - widerum als Laie - das nur eine anderer Name und ein anderes Icon reichen, damit dieses Script ein "Zwilling" bekommt. Somit wäre sogar ich (der Laie ;) ) in Zukunft fähig neue Trojaner (oder Scripte) unter's Volk zu bringen.

Grübel Grübel

Gruss

johngo

So ein Vorgehen funktioniert vielleicht bei PC DAUs ...

Von: Applemac | Datum: 13.05.2004 | #18
... aber welcher Mac User fällt auf einen Microsoft Installer mit 108 kb rein, Entschuldigung, aber doofer geht es nicht mehr ... ?!?

hin und her

Von: pal05 | Datum: 13.05.2004 | #19
Würde NAI und Symantec jedes VBS und WSH Script in den Tauschbörsen erfassen und katalogisieren hätte die PC Welt rund 2 Millionen Viren mehr auf der Liste...

@applemac

Von: nico | Datum: 13.05.2004 | #20
insofern ist doch der naechste schritt zu einem "richtigen" trojaner nicht weit:

ein zb microsoft installer mit vielleicht einigen mb "muellcode" zuzueglich dieser routine.
nebenbei koennte man ueber applescript dann noch ueblere sachen machen - irgendwelche system-elemente loeschen. dazu wird zwar ein passwort benoetigt - bei softwareinstallationen aber sehr ueblich.
alles nur eine frage der tarnung.

insofern wirklich bedenklich, weil auch nicht so einfach zu durchschauen - da sind virensignaturen wohl einfacher zu finden.

Etwas könnte Apple tun, aber nicht viel

Von: Rüdiger Goetz | Datum: 13.05.2004 | #21
Hallo,

Zum einen wenn ich ein Programm aus fragwürdiger Quelle (und ein Office 2004 Installer mit 108 kB, den ich vor der Veröffentlichung von Office 2004 ziehe, kann nur aus einer solchen kommen) starte, sollte ich es mir vorher zumindest genau angucken. Da Programme Dateien löschen können kann man ihnen schliesslich nicht verbieten.

Apple könnte es etwas schwieriger machen, einen Schädlng dieser Art zu coden, indem bei allen Aktionen in einem Skript, die
a ) in einem interaktiven Kontext stattfinden, und
b) bestehende Dateien löschen oder überschreiben,
eine Warnung ausgegeben wird.

Ähnliches tu ich als Admin unter Linux aus immer (alias rm=rm -i; alias cp=cp -i; alias mv=mv -i;). Wer das nicht will, muss es explizit abschalten und trägt damit auch selbst die Verantwortung für etwaige Probelme.

Ein grundsäztlich Lösung wäre dies aber auch nicht.
Ein Program in C oder ähnlichem zu schreiben, das sich durchs HOME-Verzeichnis hangelt und dort alles löscht, ist auch keine große Kunst und hätte denselben Effekt (Nein ich schreibe jetzt kein Beispiel). Und wie soll das OS erkennen, ob ein Programm, das einen Verzeichnisbaum löscht, Malware ist oder vielleicht nur ein Finderersatz der dies auf Anforderung des Benuzters tut?

Wenn ich ein Programm in meinem eigenen Kontext ausführe, wird diese Program a priori auch alle meine Rechte haben und somit auch allen Schaden anrichten können, den ich auch per Hand in diesem Kontext anrichten könnte. Da hilft wirklich nur Augen auf und den gesunden Menschenverstand einschalten.

BTW: Entsprechendes wäre öhnlich auch unter classic MacOS möglich, wie wohl unter jedem anderen OS auch.

Bis dann

R"udiger

@mbs

Von: Rüdiger Goetz | Datum: 13.05.2004 | #22
Hallo,

Ich sehe wenig Möglichkeiten, wie - egal bei welchem OS - man einen User daran hindern soll, Malware zu starten.

Man kann den Benutzer wohl kaum hindern Programme zu starten. Bliebe die Variante ihn zu hindern, Programme zu installieren. Nur wird dies auch nicht in allen Fällen möglich sein, vor allem wen es um auch um Skripte geht.
Bleibt als dritte Möglichkeit Kontrolle über Programmmsignaturen. Nur damit schliesst du
- alle Eigenentwicklungen aus, da diese bei den meisten wohl unsigniert wären.
- nach momentanem Stand jede OpenSource-Software aus, da sich deren Authoren die Zertifizierung für die Signatur nicht leisten können.

Letzlich hilft wirklich nur eines: Sich klar machen, was man tut. Man muss kein Experte sein, um zu wissen, dass man einen MS Office Installer nicht so einfach von irgendwo aus dem Netz bekommt, usw usf. Und das gilt unabhängig vom OS. Es mag nur sein dass MacOS Nuzter hier etwas verwöhnt sind, weil sie bisher mit solchen Problemen wenig Kontakt hatten.
Daher ist jetzt auch die Aufregung größer.

Bis dann

R"udiger

...passende Statements

Von: chris | Datum: 13.05.2004 | #23
Zu der Diskussion gibt es sehr passende Statements:

- "Es gibt keine Funktion die Dich vor der eigenen Unwissenheit schützt." (MONGER)

- "Gegen Dummheit hilft auch keine Firewall!" (Steffel)

Na also...

Von: RollingFlo | Datum: 13.05.2004 | #24
... ich sag's noch mal deutlicher:
Wer sich von Tauschbörsen Installer zieht, egal wie groß, und dann sein Passwort eingibt! - der ist wirklich so dumm, dass man ihm alle P2P-Ports und am besten den Netzzugang generell sperren sollte.
Ob man dafür die Ratschläge Integos braucht oder deren Software?

Trojanisches Pferd oder nicht:
Bei dem Begriff gibt es doch schon ein grundsätzliches Problem. Gemeint ist ja eigentlich der Hellene *im* Pferd, der böses anrichtet. Insofern ist der Begriff an sich schon falsch.
So zumindest wurde der Begriff vor Jahren definiert/habe ich es gelernt. Insofern ist für mich ein trojanisches Pferd/ein Trojaner (ein gleich zweimal falscher Begriff aber gebräuchlich) ein böses Programm innerhalb entweder eines funktionierenden Programms oder von mock-code.
Zudem hat sich der Begriff eben auch gerade wegen der "Hintertür" eingebürgert, die ein t.H. (meisten) öffnet.

Nun ist dieses Ding natürlich gut getarnt. Aber es ist elementar-simple malware, die so oder sehr ähnlich auf allen Systemen funktioniert und auch immer schon funktioniert hat (Festplatte/Massenspeicher vorausgesetzt). Und sie wird auch immer funktionieren, es sei denn man entzieht dem Anwender die Verwaltung seines Systems vollständig.
Das man diesem bösartigen Programm nun unter die Definition "Trojaner" stellt, leuchtet mir nicht ganz ein.

Aber ist ja auch egal. Ich meine halt: Niemand braucht Intego, um sich vor so etwas zu schützen. Ein Minimum an Intelligenz vorausgesetzt.

Schöne simple Welt ...

Von: johngo | Datum: 13.05.2004 | #25
... als ob es der Masse der Anwender wichtig wäre, das jetzt UNIX unter der Haube werkelt. Ich würde nicht so schnell und einfach das Wort "niemand" in den Mund nehmen.

Gruss

Ist eigentlich nur ein DAU problem

Von: LoCal | Datum: 13.05.2004 | #26
Weil wer ein Programm von nem p2p teil oder sonst ein nicht vertrauenswürdigen runterlädt und ohne zu prüfen öffnet, der is selbst schuld.
Aber irgendwie hab ich den verdacht, dass Intego selbst dahinter steckt.. sorry.. ich werd das gefühl nicht los..
um mich jetzt noch richtig in meien paranoia reinzusteigern... mensch sollte mal prüfen ob M$ nicht in den Bilanzen von Intego auftaucht

@Peter Linzenkirchner

Von: Paul Muad.Dib | Datum: 13.05.2004 | #27
"Unter X würde ich die Täuschung ausserdem noch mit einer doppelten Endung versehen: klick mich.pdf.app. Die Endung .app wird bei den meisten Usern nicht angezeigt, übrig bleibt die zweite Endung was die Täuschung vereinfacht. Hinzu kommt, dass mit der Endung .app das Script keine Ressource mehr braucht um zu starten."

Das geht (zumindest mit dem letzten Softwarestand von Mac OS X) nicht mehr so leicht. Probiere folgendes: Nenne ein Programm (z. B. TextEdit) in music.mp3 um und schaue, was passiert ...

Gruß,
PM

Monty Python

Von: BvK | Datum: 13.05.2004 | #28
ein ähnliches programm gab es mal unter MontyPython Label. Nach Doppelklick waren alle Tasten mit Kotz - und Furzgeräuschen belegt.
Weggekriegt hat mans nur, wenn man das verantwortliche Softwareteil manuell aus den Systemerweiterungen entfernt hat.Weil die meisten Leute das nicht wussten,war es ein Heidenspass zuzuhören der Mac beim Schreiben furzte und sich übergab
BvK

@Paul Muad.Dib

Von: Peter Linzenkirchner | Datum: 13.05.2004 | #29
Hast Recht, unter 10.3 zeigt er dann automatisch beide Endungen. Einfach und wirksam!

Peter

OT: :D

Von: Karl Schimanek | Datum: 13.05.2004 | #30
[Link]

Viren sind !

Von: Sven Janssen | Datum: 13.05.2004 | #31
Programmcode der sich an andere Programmcode dran hängt. Diese gibt es momentan in der _Wildnis_ schon gar nicht mehr.
Was heute als Virus beschimpft ist, das sind simple Stupide Programme die sich in die Registry eintragen und im Hintergrund laufen.
Jeder der etwas Ahnung vom Programmieren hat bekommt so etwas geschrieben. Vor allem da die ganzen Komponenten von MS und Borland bereits mit gelieferten werden.

Und ein AS mit falschem Namen und Icon als Trojaner zu bezeichnen ist nicht nur dreist, sondern auch ganz schön blöd.

Sven

Leute, nun bekommt Euch doch 'mal bitte ein...

Von: Kabe | Datum: 13.05.2004 | #32
Ausnahmslos jedes Programm kann unter jedem Betriebssystem eine ganze Menge Blödsinn anrichten. Intego kann daran auch nichts ändern.
Den Begriff "Trojanisches Pony" finde ich da übrigens sehr nett, das Austauschen von Namen und Icon ist ja wirklich ein Minimum-Trojaner.

Wer Software aus obskuren Quellen wie P2P oder die typischen im Kollegenkreis verschickten "Witzprogramme" öffnet, dem geschieht es nicht besser.

Und immerhin: Das System läuft danach ja immer noch, da kann man das Backup ja flott zurückspielen, hat man ja hoffentlich *g*

Warum gib es trotzdem so wenige Trojaner am Mac?
Vielleicht weil Raubkopien nicht ganz die Rolle spielen, und wir unser Zeug meist beim Urheber downloaden, und die haben kein Interesse, Trojaner zum Download anzubieten...

Also, sauber bleiben!

Kabe

P.S.: Vielleicht kommt das Teil auch aus dem MS-Umfeld, um einigen dummdreisten Piraten eins vor den Latz zu geben.

Das kann man doch unterbinden ...

Von: raboe | Datum: 13.05.2004 | #33
Unter Benutzer / Einschränkungen einfach die Ausführung von AppleScripts (Applets) untersagen. (nur für die ganz Paranoiden latürnich)

@raboe

Von: Peter Linzenkirchner | Datum: 13.05.2004 | #34
Bist Du Dir sicher, dass das geht? Ich finde das nicht (10.3.3) Ich kann zwar konkrete AppleScripts deaktivieren, aber nicht allgemein alle.

Peter

@Peter Linzenkircher

Von: raboe | Datum: 13.05.2004 | #35
also nochmal, ich habe ienfach alle was irgenwie mit AppleScript in Verbindung zu bringen wäre (z.B. Scripteditor, Applet ...) unter Benutzer/Einschränkungen/Programme deaktiviert.

Effekt: kein AppleScript startet mehr

@raboe

Von: Paul Muad.Dib | Datum: 14.05.2004 | #36
Solange Du z. B. keine Termine von iCal aus versenden willst, dann kannst Du das machen. Dabei wird nämlich ein AppleScript ausgeführt, wie in einigen anderen Programmen auch, die Daten an andere Programme übergeben.

Gruß,
PM

@raboe

Von: Sven Janssen | Datum: 14.05.2004 | #37
Und wenn ich ein Cocoa Programm schreibe was per NSAppleScript ein Script ausführt ... oder über NSFileManager deinen Home Folder löscht?
[[NSFileManager defaultManager] removeFileAtPath:[@"~" stringByExpandingTildeInPath] handler:nil];
oder ich per NSTask den rm Befehl direkt aufrufe?! Wie willst das alles unterbinden?

das ist nicht als Dummfick, es ist
und bleibt kein Sicherheitsloch, sondern ist ein normaler Bestandteil jedes Betriebsystems.

Sven

Löschen ist eben Löschen

Von: Mendoza | Datum: 14.05.2004 | #38
Es wurde zwar schon x.fach gesagt, aber letztlich ist es der entscheidene Punkt:

Wenn ich Dateien mit Hilfe des Finders oder über das Terminal lösche, dann sind die Dateien auch weg -- deswegen ist das aber noch lange keine Sicherheitslücke.

Wirklich schützen kann man sich nur, wenn man eben nicht jeden heruntergeladenen Mist auch gleich ausführt. Das erfordert keine super Security-Software, sondern lediglich gesunden Verstand - und das gilt plattform-übergreifend ;-)

Trojaner != getarntes Schad- Program

Von: Igigi | Datum: 16.05.2004 | #39
Ein Schad- Program das sich als ein anderes Program tarnt ist erst damm ein Trojaner wenn es ein BackDoor einrichtet.

Wäre das Nicht grlaubt solte:
1. sich an der Geschichte von Homer über trojanischen Krige erinnern. Das Hintertürch wird erwähnt.
(der Film gilt nicht weil da einiges nicht stimmt) ;-)

2. Mal die definition von !richtigen! AntiViren Herstellern durchlesen.

3. Die Merkmale der als Trojaner geführten Program durchlesen.


Und mal von der logik ausgesehen.
Trojaner = getarntes Schadprogram wäre doch etwas weit gefast.