ARCHIV 1999-2006

ARCHIV :: # 4132

Leap A...head

OS X wohl auch für Virenprogrammierer interessant

Autor: flo - Datum: 16.02.2006

Heute tauchten auf mehreren Seiten der Mac-Gemeinde die Gerüchte über einen ersten Virus für Mac OS X auf. Die Kollegen bei MacRumors waren dabei wohl die ersten -- in deren Forum stellte ein Unbekannter eine Datei online, die angeblich Bilder des derzeit noch hinter verschlossenen Türen gehaltenen Nachfolgers des Tigers enthalten sollte. Lädt der Nutzer sich jedoch diese Datei und entpackt das Archiv (und gibt auch noch ein Admin-Kennwort ein), wird ein kleines Progrämmchen aktiv, das sich automatisch dann über iChat verbreitet. Diese unangenehme Premiere wurde ebenfalls von Sophos bestätigt, die das als Virus eingestufte Programm unter dem Namen OS X/Leap A dokumentierten. Wird nun -- auch durch die zunehmende Verbreitung von OS X -- auch das Apple Betriebssystem für Virenprogrammierer wieder interessanter? Auf alle Fälle ist wohl nun auch für uns größere Vorsicht geboten. Um sich zu vergewissern, ob man sich diesen Virus bereits eingefangen hat, sollte man folgende Speicherorte untersuchen: /Library/InputManagers bzw. Benutzername/Library/InputManagers.

Befindet sich darin eine Datei namens «apphook.bundle» ist größte Vorsicht geboten. Diese sollte umgehend entfernt werden.
Nun gilt auch für Mac-Nutzer die goldene Regel, nicht jede Datei zu öffnen, die einem zugesandt wird -- und schon gar nicht, wenn diese auch noch nach einem Admin-Kennwort verlangt... Außerdem sollte man auf so oft es nur geht auf Administratorrechte verzichten -- standardmäßig werden diese von OS X glücklicherweise nicht an einen Benutzeraccount vergeben.

Mehr Informationen bieten auch bei Onkel Heinz, eine sehr realistische Analyse ("It seems that this is more of a "proof of concept" implementation [...]") von Andrew Welch bei Amrosia und selbst SpOn zeigt sich pragmatisch: "Für Sophos dürfte bei der Warnung auch eine Rolle spielen, dass Mac-Rechner [...] einen lukrativen, noch zu erschließenden Markt für die eigenen Produkte darstellen."

Artikel von Enrico Richter

Kommentare

Tendenziöse Berichterstattung a la MacGuardians

Von: Der Kopfschüttler | Datum: 16.02.2006 | #1
Ausgerechnet den neuen Intel Slogan "Leap ahead" im Zusammenhang mit einem Trojaner (Leap A) zu bringen der AUSSCHLIEßLICH auf PPC-Macs läuft...

Unterirdisch, aber nicht anders zu erwarten.

Hoho

Von: Counter-Kailiban | Datum: 16.02.2006 | #2
ein Virus, bei dem man das Keannwort eingeben muss, jaja, selbstständig verbreitend? eher nicht

lol

Von: meistermac | Datum: 16.02.2006 | #3
dann kann man den ja gleich mit "Virus.pkg"
auf Versiontracker anbieten...=)

@Der Kopfschüttler

Von: micronuke | Datum: 16.02.2006 | #4
Der Name "Leap.A" für den Wurm wurde von Sophos vergeben, nicht von MacGuardians. Kannst es auch auf heise & co. nachlesen.

clamav

Von: neo | Datum: 16.02.2006 | #5
wenn jemand die Datei hat, bitte hier hoch laden:
[Link]

Der Viren Scanner freut sich.

Gruss neo

Muhaha ich lach mich karpott!

Von: Pinguin-Züchter | Datum: 16.02.2006 | #6
Und hinfort ist die Illusion des ewig sicheren, von Attacken verschonten Mac OS. Apples Pfuscherei hat halt auch hier Auswirkungen, weitere Viren werden noch folgen.

Pinguin-Züchter

Von: dermattin | Datum: 16.02.2006 | #7
"Und hinfort ist die Illusion des ewig sicheren, von Attacken verschonten Mac OS."

Na wenn du diesen "Virus" als Anlass siehst, war die Illusion schon durch das Festplattendienstprogramm zerstört ;)

TROJANER = VIRUS ?

Von: Oldman | Datum: 16.02.2006 | #8
Nur mal für mein Verständnis: ich dachte bisher immer ein VIRUS verbreitet sich ganz selbstständig und völlig unbemerkt. Wenn ein Schadprogramm den Benutzer braucht um installiert zu werden, spricht man von einem TROJANER. Oder lieg ich da falsch.
Dann ist aber "LeapA" ein Trojaner, er braucht um aktiviert zu werden ein Administrator-Passwort.
Also nur was für Unvorsichtige ....
Gibt's die unter den Mac-Usern ?

Nur zur Klarstellung...

Von: zany® | Datum: 16.02.2006 | #9
... das eingeben des Passworts wird beim Standard-Account nötig - aber leider sind aus unkenntnis sehr viele OS X User mit dem default-Account eingeloggt und das ist der Admin-Account, bei diesem installiert sich der Schädling nach dem Doppelklick OHNE Passwortabfrage!
Deshalb hier noch mal für alle die das bisher noch nicht für nötig hielten Benutzer- und Adminaccount zu trennen noch mal zu mitmeisseln: In den Systemeinstellungen bei Benutzer einen neuen Account anlegen, das Häkchen bei "Benutzer darf diesen Comtuter verwalten" setzen (Unter 10.3. findet sich dieser Optionspunkt unter den Sicherheitseinstellungen der Benutzerverwaltung, um es aktivieren zu können muß falls noch nicht geschehen ein Hauptkennwort für den Rechner festgelegt werden, der Button dazu befindet sich ebenfalls unter den Sicherheitseinstellungen). Dann beim bisherigen Account eben dieses Häkchen wegklicken - damit hat man seinen Default-Account in einen Standard-Account verwandelt und kann wie gewohnt mit diesem weiterarbeiten - dafür hat man in Zukunft lediglich etwas häufiger als vorher (z.B. verstärkt bei einigen Softwareinstallationen) eine Abfrage des Adminaccounts.

z.

Bestimmt gibt es die

Von: grate | Datum: 16.02.2006 | #10
auch unter Mac Usern.
Weshalb sollte es keinen Unvorsichtigen in den Reihen der MacCommunity geben, der glaubt jpgs mit nem PW öffnen zu müssen.
Möglich ist alles.

Na ja

Von: Xee | Datum: 16.02.2006 | #11
Also wen ich mir zum anschauen von bildern das admin kenword eingeben muss !?!
En klein wenig mistrauen sollte man an den tag legen !

Das jeder MG Leser

Von: grate | Datum: 16.02.2006 | #12
dieses gesunde Mißtrauen hat, unterstell ich mal glattweg.
Aber
Aber
da gibt es noch die Anderen da draußen.

Und dann haste den Salat wenn in irgendeinem Forum jemand postet:
Hilfe meine Programme spinnen, wollte nur ein Bild anschauen.

Mal schnell was zum Titel

Von: Enrico Richter | Datum: 16.02.2006 | #13
Also, Beschwerden über den Titel gerne an mich. Hier aber der Grund zur Wahl dieses Titels:

Der Wurm wurde von Sophos als OS X/Leap.A bezeichnet. Zufällig bedeutet das Wort «ahead» auch «voraus» - sozusagen «Leap.A im Anmarsch» als grobe Übersetzung dafür. Ja sicher, eine kleine Anspielung auf den neuen Intel-Slogan war es auch - ein Schelm der Böses dabei denkt.

Noch was anderes dazu: Auf mehreren Seiten wird derzeit diskutiert, ob es sich bei Leap.A um einen Virus oder einen Trojaner handelt. Da aber Sophos diesen als Virus eingestuft hat, habe ich das dabei belassen - auch wenn es durchaus anzeichen dafür gibt, daß man diesen auch als Trojaner einstufen könnte.

humm?

Von: mullzk | Datum: 16.02.2006 | #14
habe ich gepennt oder ihr zuviel gekifft: "standardmäßig werden diese (administratorenrechte) von OS X glücklicherweise nicht an einen Benutzeraccount vergeben"

der user, der bei der installation von os x vergeben wird, ist doch sehr wohl ein admin. was os x glücklicherweise nicht macht, ist das aktivieren von root. um sich die admin-rechte zu nehmen (und erst damit kommt es zur passwort-abfrage beim ausführen von leap.a) muss man zany's anleitung befolgen.

ausserdem: es ist ein trojaner und kein virus, allenfalls noch ein wurm aber kein virus. aber das ist in meinen augen relativ wurscht, malware ist malware und auf meinen macs unerwünscht.

@mullzk

Von: Enrico Richter | Datum: 16.02.2006 | #15
Danke für Deine Anmerkung. Es ist richtig, der bei der Installation angelegte Account besitzt Admin-Rechte und zanys Anleitung ist in der Hinsicht für die Nutzer wirklich hilfreich.
Es ist auf jeden Fall Ziel des Artikels, darauf hinzuweisen, daß auch Mac OS X anfällig für solche Programme ist.
Unter Mac OS 9 gab es ja bereits einige Viren - Mac OS X hat uns zwar einige Sicherheiten mehr gegeben, dennoch ist es wichtig auch da auf der Hut zu sein.

reaktion von apple

Von: Thesi | Datum: 17.02.2006 | #16
bei yahoo:
[Link]

Nochmal: Leap A

Von: Der Kopfschüttler | Datum: 17.02.2006 | #17
Der Virus bekam von Sophos den namen Leap A .

Die Konstruktion zu "Leap ahead" wurde von MacGuardians vorgenommen, von niemand anderem, was zur generell tendenziösen Berichterstattung passt. In diesem Fall ist sie allerdings erkennbar debil, da der Virus gerade System mit Intel Prozessor NICHT infizieren kann.

Wir wollen doch mal Tatsachen Tatsachen bleiben lassen.

@Kopfschüttler

Von: Donjon | Datum: 17.02.2006 | #18
Wäre "Der Haarspalter" nicht der bessere Name?
Mal abgesehen davon, das Leap A auch auf den intel Macs laufen würde, wenn er als Universal compiliert wäre. ^^

@Kopfschüttler

Von: Enrico Richter | Datum: 17.02.2006 | #19
Gut, daß Dir der Titel doch aufgefallen ist. Du hats auch die Ironie dahinter verstanden - das ehrt Dich. Ein Titel eines Artikels soll vorallem die Aufmerksamkeit des Lesers erregen und da ist es manchmal nützlich auf altbekanntes zurückzugreifen und damit neue Dinge einzuführen. Daß es bei diesem Artikel NICHT um die Intel-Macs geht, dürfte dennoch recht schnell klar geworden sein, denn diese werden nicht ein einziges Mal im Artikel erwähnt.
Jede Berichterstattung ist tendenziös, ergo subjektiv. Jeder, der denkt, daß es objektive Berichterstattung gäbe, den muß ich leider enttäuschen - das ist nicht machbar, erst recht nicht, solange noch ein Mensch diese Berichte schreibt.

Update zum Artikel

Von: Enrico Richter | Datum: 17.02.2006 | #20
Die Kollegen von MacRumors haben ein Update zu der Trojaner/Viren-Diskussion gebracht - zu lesen hier:

[Link]

Vorallem geht es bei MacRumors und auch bei unserem Artikel hier darum, auf das Programm aufmerksam zu machen und OS X - Nutzer darauf hinzuweisen, daß wir nicht sicher vor solchen Schadprogrammen sind.
Und solange dadurch der Schaden an OS X - Rechnern in Grenzen gehalten werden kann, umso besser. Derzeit sollen keine großen Schadroutinen erkannt worden sein, das Potential für größere Schäden dürfte aber da sein.

@donjon

Von: Der Kopfschüttler | Datum: 17.02.2006 | #21
"Mal abgesehen davon, das Leap A auch auf den intel Macs laufen würde, wenn er als Universal compiliert wäre."

Richtig - und die Sonne würde sich um die Erde drehen, wenn der liebe Gott es so gewollt hätte.

Hat er aber nicht. Intel hat mit diesem Trojaner NICHTS zu tun. Absolut gar nichts, NADA, NULL. Er läuft nicht mal auf Intel-Macs.

Man hätte ihn OSX/PPC-A nennen sollen. Wäre wenigstens sachlich korrekt gewesen.

@@Enrico Richter

Von: Der Kopfschüttler | Datum: 17.02.2006 | #22
"Gut, daß Dir der Titel doch aufgefallen ist. Du hats auch die Ironie dahinter verstanden - das ehrt Dich. Ein Titel eines Artikels soll vorallem die Aufmerksamkeit des Lesers erregen und da ist es manchmal nützlich auf altbekanntes zurückzugreifen und damit neue Dinge einzuführen."

Ah ja, das ist doch exakt das Schema, nach dem die BILD-Zeitung arbeitet.

Ergo: MacGuardians-Niveau = BILD-Niveau

Du hast Recht, dein journalistisches Vor"BILD" würde in diesem Fall genau so titeln.

@Donjon

Von: flynn | Datum: 17.02.2006 | #23
> Mal abgesehen davon, das Leap A auch auf den intel Macs laufen würde, wenn er als Universal compiliert wäre

BS. Du hast offensichtlich noch nie ernsthaft auf einem Mac programmiert oder dir das Disassembly von Leap A angeguckt.

(Mal ganz abgesehen das Leap auch auf einem PPC nicht wirklich funktioniert, weil der Programmierer zu dumm war einen Pointer und einen String zu unterscheiden.)

dieses Thema ist sehr wichtig

Von: bigmac | Datum: 17.02.2006 | #24
jedem Macuser den man fragt sagt doch Viren/Trojaner/Keylogger gibts bei uns nicht.

Da wird nach Passwort gefragt ->
spinnt das Programm wieder, oder sonst was, das Passwort wird eingegeben, weil ja eh nichts passieren kann.

davon muß man jetzt sehr schnell wegkommen. Keine 10% der Macuser haben Virenscanner, keine 0,1% einen aktiven Systemüberwacher, der bei jeden Systemzugriff die entsprechenden Dateien nach Viren durchsucht.

Und sobald der Virus einmal läuft, verbreitet er sich ja selbstständig über iChat.
Und er würde viel mehr Schaden anrichten, wenn er nicht eine Demonstration gewesen wäre. Hätte anstatt sich bei bestimmten Programmen einzunisten, diese einfach löschen können.
Oder gleich ganze Partitionen löschen können.

Nichts neues unter der Sonne ...

Von: Lanx | Datum: 17.02.2006 | #25
... denn im Grunde passiert hier das gleiche wie bei dem falschen MP3-Trojaner, den wir vor ein paar Monaten schon mal hatten (soviel also zu ,,Erster Trojaner für Mac" ...).

Man möge sich mal bitte den Artikel bei MacRumours durchlesen samt den dazugehörenden Kommentaren und den verlinkten Artikel von Andrew Welch. Dieser ,,Virus" erfordert, daß der Nutzer ihn sich selbst herunterlädt, dann entpackt, dann ausführt (Mac: ,,Sie führen das Programm DummerTrojaner zum ersten Mal aus. Sind sie sicher?"). Hier wird keine Sicherheitslücke im System ausgenutzt, alles basiert rein auf social engineering. Davor ist keine Plattform sicher, weder OS X, noch Linux, noch ... lassen wir das. Wenn ein User sich etwas aus unbekannter Quelle runterlädt und öffnet, dann sind Probleme vorprogrammiert.

@flynn

Von: Donjon | Datum: 17.02.2006 | #26
Nö, hab' ich nicht, brauch' ich aber auch nicht.
Sinn und Zweck meiner Bemerkung war nämlich nur mit einem Augenzwinkern (hihihi) darauf hinzuweisen, daß der "Virus" keinen CPU spezifischen Exploit nutz, sondern in der gleichen Art und Weise auf einem intel Mac funktionieren würde.
Daher übrigens auch die "^^", welche im Internet üblicherweise einen freundlichen/nicht ganz ernst gemeinten Beitrag kennzeichnen.
Also: Den programmiertechnischen Johnson wieder in die Hose gepackt, wo er hingehört, und gut ist.

PS: Bevor wieder irgendein Klugscheißer meint, das "^^" könnte ja auch ein höhnisches Lächeln gewesen sein, so nach dem Motto: Kopfschüttler, ick compilier Dir det Ding neu, und denn zeigt det Dir wie scheisse Deene intel Macs wirklich sind.
Nein, war es nicht.

Pfffffffffffff

Von: peterson | Datum: 17.02.2006 | #27
Ohje, nicht mal bei soclch nem Thema kann auf das Intel Bashing verzichtet werden. Das wird dann auch noch damit begruendet, dass man maximale Aufmerksamkeit auf das Thema lenken will. Das ist wirklich ganz arm!
Wo kann ich mein Abo kuendigen? ;)

Leap ahead

Von: Oli T. | Datum: 17.02.2006 | #28
Komisch - der neue intel-Slogan klingt schnell ausgesprochen irgendwie wie "Leopard" :-)

@peterson

Von: Enrico Richter | Datum: 17.02.2006 | #29
Also, noch einmal zum mitschreiben: Der Titel war definitiv kein "Intel-Bashing". Die Intel-Macs sind nun einmal die Zukunft der Macs allgemein - damit müssen wir uns abfinden oder eben auch nicht. Ich selbst sehe mir erst einmal ein, wohin der Umstieg auf Intel uns noch führen wird, bevor ich dazu eine Meinung kundtue. Wie der Titel gemeint war, habe ich bereits weiter oben erläutert - der Titel sollte natürlich auch Aufmerksamkeit erregen - das ist vollkommen klar. Hätte Sophos Leap A. anders benannt, dann wäre sicherlich eine andere Überschrift gesucht worden - das war nur eine gute Vorlage. Man sollte sich nun aber nicht nur an einem Titel aufziehen, sondern der Inhalt eines Artikels ist wichtig. Genauso wie die PowerPC-Macs werden auch nicht die MacIntels vor Viren gefeit sein - daran sollte man lieber denken. Das Potenzial ist da - und zwar für ALLE Betriebssysteme mit ALLEN Prozessoren (Punkt)

@Donjon

Von: flynn | Datum: 17.02.2006 | #30
Gut zu wissen, ^^ hatte ich wohl übersehen.

Sicherheit ist kein Zustand

Von: Hulot | Datum: 17.02.2006 | #31
Sicherheit ist kein Zustand, sondern ein andauernder Prozess !!

Also Augen auf und ein gesundes Misstrauen.

Ich empfehlen jedem Benutzer- und Adminkonten einzurichten.

Hulot

Virus - Quatsch -- Aufpassen - immer

Von: pjdi | Datum: 17.02.2006 | #32
Mit einem Script oder einem Programm erzeuge ich ausführbaren Code. Erzeuge ich ein Programm, dass z. B. alle meine Dateien löscht, dann wird es alle meine Dateien löschen, wenn ich das Programm starte und es wird alle Dateien eines anderen löschen, wenn dieser es startet. Dies ist zwar übel - aber keineswegs ein Virus.
Nicht einmal etwas ähnliches.
Es läßt sich auf keinem Rechner vermeiden.
Wozu also die Aufregung!

Dass wir wachsam sein müssen, uns nicht in der Gier nach toller Software so ein unangenehmes Gemüse herunterzuladen und auch noch zu starten, ist sicher klar.

Grüße

Das Admin-Kennwort ist hier imho gar nicht das Problem

Von: Marcus | Datum: 17.02.2006 | #33
Aber (ich meine nach dem jemand letztes Jahr ja mal eine Anwendung als mp3-Datei getarnt hatte) Apple hat ja eingeführt, daß man beim ersten Start eines heruntergeladenen Programmes gefragt wird "Sie sind dabei ein Programm zu öffnen. Ist es das, was Sie gerade glaubten zu tun?" (sinngemäß).

*Das* müßte doch der Schutz sein, der den Anwender kurz nachdenken läßt (im Gegensatz zum Kennwort), und bei meinen alltäglichen Downloads funktioniert er doch auch. Warum nicht bei diesem Ding?

Hier eine neue Meldung...

Von: MichaelK | Datum: 17.02.2006 | #34
[Link]

Welcher Scanner ist eigentlich der beste?

Von: MichaelK | Datum: 17.02.2006 | #35
von ClamXav mal abgesehen (weil Freeware). Ich würde zwar gerne Virex installieren, gibt es aber leider nicht als Single-User-Version.

??