Mac Trojaner mit little snitch entdeckt?

I

iMacbookfan

Neues Mitglied
Thread Starter
Dabei seit
15.10.2011
Beiträge
5
Reaktionspunkte
2
Little Snitch war sein Geld wert:
Denn laut Netzwerkmonitor greift der Prozess "usbmuxd" aus /System/Libary/PrivateFrameworks/MobileDevice.framework/Versions/A/Resources auf die Domain ic.tynt.com zu.
Eine schnelle Googlesuche ergab, dass diese Domain von Windowsviren genutzt wird.

Zu meinem System, ich lege Wert auf Sicherheit, mein System ist aktuell und ich nur vertrauenswürdige Drittanbietersoftware installiert.
Dem Prozess habe ich vorübergehend mal den Zugriff aufs Internet durch little snitch blockiert.

Durch meine langjährige Erfahrung mit Windows Ungeziefer tippe ich auf einen Trojaner. Und ich wäre erleichtert, wenn mich jemand vom Gegenteil überzeugen kann. :D

Falls nicht, dann ist das kein Proof-of-Concept mehr.
An welche Stellen sollte ich mich in diesem Falle weden?
 

Anhänge

  • Unbenannt-1.jpg
    Unbenannt-1.jpg
    15,8 KB · Aufrufe: 301
  • Gefällt mir
Reaktionen: Mai_Ke und mikrowellenpiet
Dieser Prozess synct dein iPhone ueber USB. Langjaehrige Windows-User leiden unter Paranoia. ;)
 
  • Gefällt mir
Reaktionen: otuerpe, manue und ekki161
Mein IPhone wurde seit 2 Tagen nicht mehr angeschlossen und die URL auf die usbmuxd zugreift ist mehr als verdächtig.
Nicht Paranoia, nur geschärfte Aufmerksamkeit. ^^
 
Was spricht dagegen, dass der Dienst auch läuft wenn kein iGerät angeschlossen ist! Der läuft auf jedem Mac, auch auf meinem, zwar greift der nicht auf irgendwelche Websites zu (gerade in diesem Augenblick nicht - Little Snitch) aber ich würde mir da nicht so viele Gedanken drüber machen... Ob du dir einen Trojaner eingefangen hast, ist einfach zu beantworten:

•Hast du irgendwelche unsicheren oder fragwürdigen Websites besucht?
•Hast du irgendwo etwas runtergeladen und installiert, von dem du nicht so genau weißt was es ist, oder es aus fragwürdiger Quelle stammt ?
•Verhält sich sonst etwas ungewohnt ?

Wobei Punkt 3 eher unwichtig ist...
 
Also abgesehen von der Webseite wunder mich das ganz auch nicht sonderlich.
Aufmerksam wurde ich heute, als ich merkte, dass das Spiel "Modern Combat: Domination", das ich aus dem Mac AppStore installiert habe über usbmuxd auf "gold01.gameloft.com" zugriff.
Habe das Spiel danach deinstalliert.

Gibt es eine andere plausible Erklärung, warum ein Prozess, der für die Synchronisation von Iphones zuständig ist auf das Internet zugreift?
Und dann ausgerechnet auf "ic.tynt.com", das laut Google eindeutig von Windows Vieren genutzt wird?
 
Wenn du den weghaben willst, solltest du in den Einstellungen von iTunes die automatische Synchronisierung deaktivieren! Dann gibt's aber auch kein "Steck dein iPhone ins Dock und über W-Lan haste das neuste vom Rechner"

Ich kann in Goggel keine Infos zu dieser Domain finden... Dürfte ich wissen auf der wievielten Seite bei welcher Suche du DAS rausgefunden haben willst ?
 
Aufmerksam wurde ich heute, als ich merkte, dass das Spiel "Modern Combat: Domination", das ich aus dem Mac AppStore installiert habe über usbmuxd auf "gold01.gameloft.com" zugriff.
Zum Vergrößern anklicken....
Jetzt wird es interessant! Ich kann mich nicht daran erinnern, dass usbmuxd jemals eine Verbindung in Internet aufgebaut hat. Dass nun andere Programme über usbmuxd dazu in der Lage sind eine Verbindung ins Internet aufzubauen beunruhigt mich …
 
  • Gefällt mir
Reaktionen: NewWorld
Manchmal weiß ich nicht, ob ich lachen oder weinen soll, wenn ich diese Threads lese. Ein User findet etwas verdächtiges auf seinem Mac und vermutet sogleich einen Trojaner oder ähnlich schlimmes (habt ihr alle irgendwie 'ne morbide Sehnsucht nach dem Zeug oder ist es nur 'ne Art von Rationalisierung für den Erwerb von Tools von LittleSnitch?). Die Reaktionen darauf sind dann aber auch spannend. Natürlich gibt es keine Malware für den Mac, ausserdem wäre das ein Standard-Prozess fürs iDevice syncen und der TE soll sich mal wieder beruhigen und seine Paranoia in Griff bekommen.

Und jetzt mal die Preisfrage:
Warum zum Teufel verbindet sich ein Sync-Prozess ohne angeschlossenes iDevice mit einem Webserver? Und dann noch zu einem Anbieter wie tynt.com, die per JavaScript Copy&Paste Analysen für die Betreiber von Webseiten machen (so wird alles getrackt, was ihr Euch auf Webseiten kopiert und ausgewertet dem Webseitenbetreiber zur Verfügung gestellt, damit dieser dann weiß, was Euch bei ihm besonders interessiert hat.) Wieso irritiert das hier anscheinend keinen?

PS: Infos über tynt.com gibt's gleich beim ersten Treffer in der Google-Suche… ;)



Edit: Zumindest ein Irritierter hat sich jetzt ja doch eingefunden…
 
  • Gefällt mir
Reaktionen: LosDosos, StevieJobs und Udo2009
Paranoia oder nicht, ich bin davon genauso irritiert wie du.
Also wenn man Mac Trojaner kategorisch ausschießen kann, welche plausible Erklärung gibt es dann für diese "Preisfrage"?
David X schrieb:
Und jetzt mal die Preisfrage:
Warum zum Teufel verbindet sich ein Sync-Prozess ohne angeschlossenes iDevice mit einem Webserver? Und dann noch zu einem Anbieter wie tynt.com, die per JavaScript Copy&Paste Analysen für die Betreiber von Webseiten machen (so wird alles getrackt, was ihr Euch auf Webseiten kopiert und ausgewertet dem Webseitenbetreiber zur Verfügung gestellt, damit dieser dann weiß, was Euch bei ihm besonders interessiert hat.) Wieso irritiert das hier anscheinend keinen?
Zum Vergrößern anklicken....
 
Will man den "Service" von tynt.com generell abschalten, braucht man keine Firewall, sondern nur eine einzige Zeile in die Datei /etc/hosts eintragen:

127.0.0.1 tcr.tynt.com

Damit ist der Service dann komplett erledigt.
 
  • Gefällt mir
Reaktionen: Herr Patschulke
cifera schrieb:
Nicht sein kann, was nicht sein darf?

Die handvoll Meldungen über OS X Schadsoftware nicht mitbekommen?
Zum Vergrößern anklicken....

Ich glaube, Du solltest den Beitrag von David X nochmal lesen..
Er hat ja gerade diese Reaktionen als interessant bezeichnet. (Vielleicht hätte er das zum besseren Verständnis in Anführungszeichen setzen sollen)
 
  • Gefällt mir
Reaktionen: David X
Hallo iMacbookfan,
Installier ClamXav / VirusBarrier X6 oder Kaspersky auf deinen Mac und mach einfach einen Check.

Gruß NewWorld
 
David X schrieb:
Manchmal weiß ich nicht, ob ich lachen oder weinen soll, wenn ich diese Threads lese. Ein User findet etwas verdächtiges auf seinem Mac und vermutet sogleich einen Trojaner oder ähnlich schlimmes (habt ihr alle irgendwie 'ne morbide Sehnsucht nach dem Zeug oder ist es nur 'ne Art von Rationalisierung für den Erwerb von Tools von LittleSnitch?).
Zum Vergrößern anklicken....

Das Gefühl habe ich schon länger hier....

Irgendwie scheint es für manche undenkbar auch ohne AV Software auskommen zu können.
Ich habe seit OS X also seit über 10 Jahren keine Scanner laufen und es ist nichts passiert.

Ich habe lediglich einmal mit XClamAV mehrere sinnlose Stunden das System ohne Erfolg gescannt,
um wegen der vielen Besorgnisse hier der Sache mal auf den Grund zu gehen.
 
  • Gefällt mir
Reaktionen: Otiss, t_h_o_m_a_s, otuerpe und 3 andere
Ich hab meinen mac nun genau 3.3 Jahre, ich hatte noch nie ein Sicherheitsproblem... Dennoch ist es komisch, dass dieser Prozess sich mit solchen Webseiten verbindet!
 
Cathul schrieb:
"Service" von tynt.com generell abschalten ... nur eine einzige Zeile in die Datei /etc/hosts eintragen:

127.0.0.1 tcr.tynt.com
Zum Vergrößern anklicken....

mal so als Zwischenfrage:
Wieso 127.0.0.1 tcr.tynt.com und nicht: 127.0.0.1 tynt.com oder 127.0.0.1 ic.tynt.com?
 
Warum werden immer im TV bei Beiträgen über den "Staatstrojaner" Computer mit Mac OS X gezeigt??????????
 
bikkuri schrieb:
Dieser Prozess synct dein iPhone ueber USB. Langjaehrige Windows-User leiden unter Paranoia. ;)
Zum Vergrößern anklicken....

Oder unter Verfolgungswahn.

Ich habe in 10 Jahren als Linuxnutzer und 5 Jahren Mac-Nutzer weder
eine Firewall oder Antivirenprogramme draufgehabt.

Wozu auch ? Nur weil ein- oder zweimal ein angebliches rootkit aufgetaucht ist,
dessen Existenz auch noch zweifelhaft war ?
Von angeblichen Viren etc. ganz zu schweigen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten