ARCHIV 1999-2006

ARCHIV :: # 3677

Erster Trojaner für MacOSX

Autor: thyl - Datum: 25.04.2005

Da wir unsere Leser stets topaktuell (so alle drei Tage) informieren möchten, danken wir Onkel Heinz für den Hinweis auf den ersten aufgefundenen Trojaner unter MacOSX. Dieser setzt sich in den Preferences-Ordner und kann sich zudem anscheinend als Start-Up Item eintragen, um automatisch ausgeführt zu werden. Mehr weiß ich noch nicht.

Wir empfehlen unseren grünen Lesern, ihre Rechner sofort vom Internet zu nehmen und mit einer Doppel-Firewall auszustatten. Eine mechanische Zerstörung der infizierten Festplattensektoren (Lötlampe!) ist ebenfalls angeraten (Garantiebestimmungen beachten).

Alternativ kann man auch erst mal abwarten. Vielleicht hilft auch der gelegentliche Blick in das Preference-Pane, ob sich da was tut. Da es der erste Trojaner für MacOSX zu sein scheint, werden sich bestimmt alle darauf stürzen und wir werden bald mehr erfahren.

Kommentare

Der arme Trojaner... n/t

Von: dermattin | Datum: 25.04.2005 | #1

Ich hätte ja gerne etwas dazu gepostet, aber

Von: Michel | Datum: 25.04.2005 | #2
der Trojaner hat meinen Rechner total lahmgelegt!

;-)

Wie genau...

Von: Marcel_75@work | Datum: 25.04.2005 | #3
...soll das Teil denn eigentlich auf den Rechner gelangen?

Per Mail?

Erst, wenn ich ein infiziertes Programm starte?

Oder "direkt von außen", z.B. bei deaktivierter Firewall?

Bin gespannt, was genau passiert und ob Apple gegebenenfalls mit einem Sicherheitsupdate 005 reagieren muss.

Meine Güte, ist das schlecht. Zitat:

Von: roser | Datum: 25.04.2005 | #4
von Sophos:
"# Allows others to access the computer
# Installs itself in the Registry"

äääähhhhhhhh, jaaaaahhhh, öhöm:
Welche Registry?????

Virus, der das home-Verzeichnis löscht?

Von: struffsky | Datum: 25.04.2005 | #5
Hat schon einmal jemand etwas gehört von einem Virus, der das home-Verzeichnis löscht?
Soll angeblich einem Kollegen passiert sein. Ich vermute aber der User war der Virus...

Ist übrigens übel: wenn ich das home-Verzeichnis auf den Papierkorb ziehe kommt eine Warnmeldung, man könne nur direkt löschen. "Löschen" ist dann vorausgewählt...

ich sehe es auch schon...

Von: Jojo | Datum: 25.04.2005 | #6
... wenn ich aus dem fenster kucke, sehe ich ein hölzernes pferd auf meinen apple zurücken.

hat jemand tipps für mich, ich grusel mich schon ganz arg. hilft es vielleicht einen (holz-) wurm gegen den trojaner in stellung zu bringen? oder helfen evtl. anti-(pferde-)viren?

jede hilfe ist willkommen...

anzünden?

Von: trial&error | Datum: 25.04.2005 | #7
oder einen tiefen Graben um den Rechner ausheben.

Jepp - Java-Virus gibts

Von: macmercy | Datum: 25.04.2005 | #8
@Haiko

So ein kleines Mistvieh hatte ich letztens auf dem PC. Ist sicher auch per Applet auf einen Mac downzuloaden. Sollte aber da keinen Schaden anrichten können - so lange kein PC darauf zugreifen kann.

Zum Mac-Trojaner:
Jetzt hab ich aber Angst, dass er mir die Registry killt - und alle .dll gleich dazu. :-)

hmm...

Von: nico | Datum: 25.04.2005 | #9
wenn der sich in die registry einnistet, dann ist der wohl ausschliesslich fuer "virtual pc" zustaendig...

boerse: man sollte mal symantec beobachten...

na dann bin ich aber froh

Von: mullzk | Datum: 25.04.2005 | #10
meine registry ist eh von falschen uralt-einträgen überlaufen, die performance meines os x voll im arsch.
hatte schon lange erhofft, dass da ein virus endlich mal ein wenig aufräumt...

versteh ich nicht

Von: orlando | Datum: 25.04.2005 | #11
Wo kommen denn die ganzen trojaner her? die griechen haben die doch damals platt gemacht, oder? ich hab doch den film gesehn...
;-)

warum eigendlich ...

Von: tante.may | Datum: 25.04.2005 | #12
... trojaner? es waren doch grichen die das pferd
bauten. trojaner waren die die es rein liesen, also der user. und user gibt es am mac ja auch.

gruss daniel

ok, ok, ...

Von: tante.may | Datum: 25.04.2005 | #13
... griche mit ie, also grieche.

ich hasse "ie"

gruss daniel

NOCH SPOTTET IHR

Von: Thyl (MacGuardians) | Datum: 25.04.2005 | #14
so wie beim letzten Vorfall vor einem Jahr. Was ist eigentlich aus dem geworden? Aber interessant dürfte die Reaktion von Apple sein, ob sie ein Loch entdecken und stopfen zB.

Wieso eigentlich nicht?

Von: Pofi | Datum: 25.04.2005 | #15
Wieso sollte es auf irgendwann auf dem Mac keine Viren geben? Oder Trojaner.
Die größte Schwachstelle ist dieselbe wie am PC. Der User selbst. Durch social engineering sollte der auch zu überzeugen sein, ein schädliches Programm zu installieren.

Diese Warnung ist evtl. nicht so gefährlich wie reißerisch, aber in absehbarer Zeit wird sicher ein gefährliches Exemplar auftauchen.

Na hoffentlich

Von: trial&error | Datum: 25.04.2005 | #16
damit wir endlich sagen können: "Wir sind wieder wer!"

Registry, Library oder was auch immer

Von: Todtsteltzer | Datum: 25.04.2005 | #17
Sind die Unterschiede soooo groß?

Bin mal gespannt...

Von: bernd | Datum: 25.04.2005 | #18
...wie das fiese Ding sich ohne entsprechende Zugriffsrechte in die PrefPanes oder StartUpItems kopieren will. Wer nicht permanent als Benutzer mit Administrator-Rechten arbeitet, hat wahrscheinlich (bei tatsächlicher Existenz dieses neuen Virus/Trojaners) nicht sehr viel zu befürchten.

[Link]

Von: Neelz | Datum: 25.04.2005 | #19
was da los? sind die gehackt worden?

link = apfeltalk

Von: Neelz | Datum: 25.04.2005 | #20
sind die wech vom fenster?

ie

Von: Thomas Born | Datum: 25.04.2005 | #21
hallo danil

und was ist mit neuer hardware? n/t

Von: FB | Datum: 25.04.2005 | #22

Es gibt eine Aufklärung

Von: Thyrfing | Datum: 25.04.2005 | #23
{url=http://www.macnews.de/news/66231}Hier{/url} und {url=http://www.industrial-technology-and-witchcraft.de/index.php/ITW/comments/14355/}hier{/url}.

Toll

Von: Thyrfing | Datum: 25.04.2005 | #24
Wie geht das hier? Ich dachte die spitze Klammer sei die richtige? Bäähhh :-D

Trojaner auf dem Vormarsch

Von: meta | Datum: 25.04.2005 | #25
Wie schon richtig geschrieben, kann man mit social engineering schon heute wunderbar jeden Mac hacken und einen versteckten Prozess dort platzieren.
Das ist hier nicht der Punkt. Auch OS X hat Lücken, die Apple wohl erst mit den ersten Exploits auffallen werden. Da spielt der Marktanteil natürlich eine große Rolle.

zu "kopiert sich in die Registry":
Sicher hat da jemand den Bericht geschrieben, der/die sonst eher die Befälle der Fenstersysteme bearbeitet. Wie auch anders, denn die Exploits für OS X sind noch rar gesät.
Natürlich kann der Trojaner sich in die Library oder gar in eine der Systemdatenbanken (z.B. /var/db/) kopieren.

Apple sollte seine Sicherheitsmassnahmen bei OS X konsequenter durchziehen. Dass alle Programme in den Startup-Items als root in beliebiger Reihenfolge ausgeführt werden, ist schon sehr riskant. Der Schutz durch Verzeichnisrechte reicht da einfach nicht.
Auch sollte man die vielen kleinen Möglichkeiten des Manipulierens beim Start unterbinden, auch wenn dadurch der Komfort sinkt und der DAU-Faktor des Users nicht zu hoch sein darf.
Es kann doch nicht wahr sein, dass man mit einer System-CD/DVD einfach das Admin-Passwort zurücksetzen oder mit angeschlossenem Firewire-Laufwerk ohne Passwort ein anderes System starten kann. Letzteres lässt sich zwar mit der Vergabe eines (separaten) Openfirmware-Passworts verhindern, aber darauf kommen sicher 90% der Anwender nicht. Selbst Filevault wird bei mobilen Geräten nicht oft genug aktiviert.

Viele Sicherheitsprobleme lassen sich in Software lösen, z.B. durch eine simple Abfrage beim ersten Start (inkl. ausführlicher Erklärung der Folgen und einer mehrstufigen Warnung). Im System versteckte Sicherheitslücken sollte natürlich weiterhin über ein Update ausgebessert werden. Der Benutzer sollte aber mehr auf die Risiken eines bedenkenlosen Umgangs hingewiesen werden. Besonders bei Firmendaten hört da jeder Spass auf.

@Thyrfing

Von: meta | Datum: 25.04.2005 | #26
Hier musst du nur einen kompletten Link einfügen, den Rest macht das System. Im Forum muss man mit eckigen Klammern und url= arbeiten. Einige HTML-Befehle lassen sich hier wohl auch ausführen.

und dieser Trojaner war schon ab dem 22.04.

Von: svenc | Datum: 25.04.2005 | #27
nicht mehr als Datenmüll.

Das letzte Sec-Update vom 22.04. hat diese theoretische Lücke schon geschlossen.

Gruss

svenc

SOPHOS RELATIVIERT GESTRIGE MELDUNG - DANKE SOPHOS für die PR!!!

Von: Rob | Datum: 26.04.2005 | #28
Sophos relativiert Trojaner-Warnung
Der Antiviren-Softwarehersteller Sophos hat den Alert von heute morgen relativiert: Bei dem Mac-Trojaner Cowhand-A handle es sich "eher um einen 'Proof of Concept', der bisher nur einmal gemeldet wurde", so Pressesprecher Christoph Hardy gegenüber macnews.de. Außerdem scheint der Trojaner nicht ausführbar zu sein, "beziehungsweise er funktioniert nicht". Mac/Cowhand-A ist ein proxy Trojaner, der sich in den Voreinstellungs-Ordner eines Benutzers kopiert. Um sich selbst zu starten, schreibt er sich in die Startobjekte. Von dort nehme er Kontakt zu dem Server [Link] auf, so die Sicherheitsexperten. Durch die automatische Aktualisierung vom 22.04.05 seien Verwender von Sophos AV für Mac gegen diesen Trojaner geschützt. (chr)
(c) [Link]

neo

Von: dermattin | Datum: 26.04.2005 | #29
"Also schwer ist es nicht sollte jeder Script kiddy mit einem Mac hin bekommen, das Compilieren."


Jo, deswegen gibt es seit vier Jahren keinen einzigen Vorfall auf der OSX Plattform?

PS: Ich weiss das man Compilieren in de mit K schreibt.
PS: Ich weiss das man Compilieren in de mit K schreibt.

Von: adalbero | Datum: 26.04.2005 | #30
dann mach es bitte auch! :D

@struffsky

Von: Lorenz* | Datum: 27.04.2005 | #31
Was es gegeben hat, war ein Skript, das sich einige im Peer to Peer Netzwerk Limewire geladen haben und den Namen eines Microsoft-Produkts trug. Bei der Ausführung hat es das Home-Verzeichnis des Users gelöscht, was anscheinend wirklich mindestens ein User getan hat... [Link]