Flashback Trojaner

[Sydney2k]

Ich habe noch mal ein wenig nachgelesen, was dieser OSX/Flashback.K macht und wie man sich schützen kann. Scheinbar ist es doch so, dass der Trojaner sich allein durch Surfen auf den Rechner lädt! (Sorry für meine Falschinformation)

Zu erst wird der Trojaner nur im User Context ausgeführt. Wenn er versucht den Rechner zu infizieren, fragt er nach dem Admin Kennwort. Gibt man es ein, infiziert er Safari.

Anhang anzeigen 107699
Gibt man es nicht ein, überprüft der Trojaner ob folgende Verzeichnisse existieren (kein Scherz):

/Applications/Microsoft Word.app/Applications/Microsoft Office 2008
/Applications/Microsoft Office 2011
/Applications/Skype.app

sind diese Verzeichnisse da, hört er mit der Installation auf und löscht sich selbst (sic!).
Sonst hängt er an jedes Programm, welches der User startet eine dynamische Library dran, die dann natürlich in diesem Programm Context alles Mögliche anstellen kann, was diese Programm auch darf.

Wie schütze ich mich:
1. Nicht auf dunklen Seiten surfen.
2. Java (nicht mit Javascript verwechseln!) im Browser deaktivieren.
3. Nie bei überraschend auftauchenden Admin Kennwort etwas eingeben.
4. Nicht mit Administrator Account surfen.
5. Anderen Browser als Safari benutzen.
6. Microsoft Office installieren .

Sollte man Java auch deaktivieren, obwohl mal das Sicherheitsupdate installiert hat? Dann sollte die Gefahr doch gebannt bzw vermindert sein, denke ich. Oder?
Und ist es sinnvoll Safari nicht mehr zu nutzen? Hab früher hauptsächlich Firefox genutzt, aber bin - seit ich mein MBP hab - jetzt konsequent bei Safari geblieben, weil ich davon ausgegangen bin, dass es halt am Besten mit dem Mac zusammenarbeitet/-spielt und den Sicherheitsfaktor im www erhöht. Liege ich damit falsch?
Und was zählt denn zu "dunklen Seiten"?

 

[blue apple]

java aus den safari-einstellungen deaktivieren...

 

[oneOeight]

Sollte man Java auch deaktivieren, obwohl mal das Sicherheitsupdate installiert hat? Dann sollte die Gefahr doch gebannt bzw vermindert sein, denke ich. Oder?
Und ist es sinnvoll Safari nicht mehr zu nutzen? Hab früher hauptsächlich Firefox genutzt, aber bin - seit ich mein MBP hab - jetzt konsequent bei Safari geblieben, weil ich davon ausgegangen bin, dass es halt am Besten mit dem Mac zusammenarbeitet/-spielt und den Sicherheitsfaktor im www erhöht. Liege ich damit falsch?

ja, es ist sinnvoll java im browser zu deaktivieren. es ist nicht die erst lücke, die so über java ausgenutzt werden konnte und es wird auch nicht die letzte sein.
zumeist braucht man java auch nicht im browser.

und auf firefox wechseln bringt in dem fall nichts, weil das java plugin dort genau so existiert und über add-ons deaktiviert werden müsste.

 

[Pas911]

Ich glaube kaum, das man sicher ist wenn man Safari nicht nutzt immerhin lädt sich der Trojaner selbst herunter egal mit welchem Browser. Die einzige Hilfe ist, Java im Browser zu deaktivieren

 

[Olaf19]

Und nichts anderes macht mein Perl Skript, nur dass es ein Einzeiler ist. Finde es lustig wie in so einem Thread einfach 10 mal das selbe wiederholt wird, weil die Leute zu faul sind auch nur 2 Seite vorzublättern.

Für alle Suchenden: der Tipp mit dem Perl-Skript steht auf Seite 7 von momentan 14, mit derzeit 18 Dankeschöns inklusive meinem

Nun sagt dein Skript, genau wie die Einzeleingabe der beiden Kommandos, dass mein Mac nicht infiziert sei - und doch mache ich mir so einige Gedanken.

Denn nur ca. 24 Stunden vor(!) dem Einspielen des Java-Updates wurde mir ein Update für den Flashplayer angeboten, welches ich auch inkl. Eingabe meines Admin-Passworts bestätigt habe. Anscheinend habe ich einfach nur Glück gehabt, dass es nicht der Trojaner gewesen ist? Deswegen auf zukünftige Updates des Flashplayers zu verzichten, weil es ja ein Trojaner sein könnte, halte ich für keine schlaue Idee - dann kommt irgendwann jemand und nützt eine nicht gepatchted Lücke im Flashplayer, und nach der Logik dürfte man dann gar keine Software mehr updaten.

Thema Surfen als Administrator: Anscheinend habe ich da etwas komplett falsch verstanden. Ich war der Meinung, dass diese Thematik unter sämtlichen Betriebssystemen der Vergangenheit angehört. Sowohl unter Mac OS X als auch Linux und seit Vista auch Windows muss man doch immer ein Admin-Passwort eingeben, wenn es benötigt wird. Daher war ich der Meinung, dass man sowieso nie mit Adminrechten unterwegs ist, es sei denn sie werden angefordert. Liege ich damit komplett falsch? Sollte ich mir nun doch ein Gastkonto zulegen?

Noch ein wenig Statistik: Wenn von 550.000 infizierten Macs weltweit 0,4% in Deutschland stehen, sind das 2.200 bei uns - ich weiß ja nun nicht, wie viele Tausend Macs in Deutschland laufen, aber für mich klingt diese Zahl gewaltig, so als wäre eine starke Minderheit bei uns infiziert.

Wie seht ihr das alles?

THX
Olaf

 

[Pas911]

Bei Windows muss man kein Passwort eingeben... Man bekommt nur eine Warnmeldung die aber auch nicht immer erscheint!

 

[Hausbesetzer]

Denn nur ca. 24 Stunden vor(!) dem Einspielen des Java-Updates wurde mir ein Update für den Flashplayer angeboten, welches ich auch inkl. Eingabe meines Admin-Passworts bestätigt habe.

Und daran sieht man, dass diese ach so hoch gelobte Passwortabfrage genau 0 Sicherheit bietet.

 

[Kaito]

Richtig. Die Passwortabfrage ist nur hinderlich, wenn dem Benutzer sie irgendwie spanisch vorkommt. Sei es eine Software, von der er nie gehört hat, oder ein fehlendes App Icon. Ansonsten würde ich behaupten, 99% der Nutzer solcher Allerweltssoftware, geben so schnell ihr PW ein, wie Windows Nutzer "Ja" drücken.
Stellt sich letztlich nur die Frage, wie man falsche Abfragen identifizieren soll? Adobe selbst sagt, man sollte keinen derartigen Meldungen im Web vertrauen, sondern nur der höchst eigenen Update Funktionalität des installierten Flashs, welches aber genauso einfach ein PW Fenster aufploppen lässt.

 

[cifera]

… Denn nur ca. 24 Stunden vor(!) dem Einspielen des Java-Updates wurde mir ein Update für den Flashplayer angeboten, welches ich auch inkl. Eingabe meines Admin-Passworts bestätigt habe. Anscheinend habe ich einfach nur Glück gehabt, dass es nicht der Trojaner gewesen ist? …

Soweit ich weiß ist der Trajaner ein ganz normales OS X Installationspaket, d.h. das Installationsprogramm startet und als Hintergrund im Installationsfenster hat man das Flash-Symbol. Der Adobe Flash-Installer ist aber ein anderer. Im Netz gibt es dazu auch einige Vergleichsbilder.

 

[Kaito]

Dein Passwort will das Ding aber genauso, sofern ich mich gerade nicht täusche.

 

[Olaf19]

Und daran sieht man, dass diese ach so hoch gelobte Passwortabfrage genau 0 Sicherheit bietet.

Natürlich hätte ich das Passwort auch verweigern können. Dann wäre die Installation gescheitert ich jetzt mit einer veralteten Flashversion unterwegs. Mit etwas Pech schleicht sich darüber eine andere Schadsoftware ein. Wenn ich als "Gast" ohne Adminrechte unterwegs wäre, könnte ich das Update gar nicht ausführen, müsste erst den Benutzeraccount wechseln. Also wie man es dreht und wendet, das Ergebnis ist immer das Gleiche.

Was genau würde denn mehr Sicherheit bieten?

CU
Olaf

 

[Kaito]

Du kannst doch auch als Benutzeraccount in diesem Dialog eben den Admin Namen und das zugehörige Kennwort eingeben?

 

[Hausbesetzer]

Natürlich hätte ich das Passwort auch verweigern können. Dann wäre die Installation gescheitert ich jetzt mit einer veralteten Flashversion unterwegs.

Oder Du hättest die Installation des Trojaners verhindert.

Nur weil da steht "Ich bin Flash" heißt das nicht, dass es Flash ist.

Du siehst das Problem: Die Passwortabfrage kommt zwar, aber Du weißt überhaupt nicht, was sie gerade versucht zu installieren. Daher ist sie nutzlos.

 

[Toobles]

Oder Du hättest die Installation des Trojaners verhindert.

Nur weil da steht "Ich bin Flash" heißt das nicht, dass es Flash ist.

Du siehst das Problem: Die Passwortabfrage kommt zwar, aber Du weißt überhaupt nicht, was sie gerade versucht zu installieren. Daher ist sie nutzlos.

An der Stelle kommt dann ja Gatekeeper in Mountain Lion ins Spiel. Mit entsprechenden Einstellungen sollte Gatekeeper dann ja verhindern, dass nicht signierte Anwendungen ausgeführt werden, also beispielsweise Malware-Installer wie für den Flashback-Trojaner, gar nicht erst ausgeführt werden.

 

[Hausbesetzer]

Da kommt dann auch die Frage "Möchten sie das unsignierte Paket ausführen" und Du glaubst, dann drücken weniger Leute auf "Ja" "Jajaja" "Los jetzt" "*passwort eintipp" usw?

 

[Kaito]

Gibt es heutzutage schon Menschen, die nur MAS Software nutzen? Ist es schon so weit gekommen?
Ich kenne z.Z. niemanden, der sich dieser Beschränkung unterstellen kann, alleine schon, weil viel der Software, die ich (und andere) einsetzen, "mehr" tun muss (um zu funktionieren), als es für MAS Programme erlaubt ist. Das gilt auch für viele Analyse-Tools.
Da ist diese Abfrage dann wieder genauso unsinnig, da das selbe Problem vorliegt.

 

[mikrowellenpiet]

Gibt es heutzutage schon Menschen, die nur MAS Software nutzen? Ist es schon so weit gekommen?

signierte Software heißt nicht MAS

Da hast Du etwas falsch verstanden.

 

[Kaito]

Ich dachte es gäbe in GateKeeper auch die Möglichkeit auf MAS-only, was ich damit ansprach.
Mit der "nur" signierten Software wäre es aber nicht viel anders, in Bezug auf die abermillionen opensource Programme/Projekte.

 

[mikrowellenpiet]

Da kommt dann auch die Frage "Möchten sie das unsignierte Paket ausführen" und Du glaubst, dann drücken weniger Leute auf "Ja" "Jajaja" "Los jetzt" "*passwort eintipp" usw?

Wobei man dann klar selbst schuld ist, da man ja bewusst ein unsigniertes Paket installiert hat. Das echte Flash ist signiert.

Derzeit muss man ja sowohl beim echten als auch beim falschen das Passwort eingeben. In Zukunft dann (wenn aktiviert) nur beim falschen.

Ich dachte es gäbe in GateKeeper auch die Möglichkeit auf MAS-only, was ich damit ansprach.

Gibt es auch. Aber Deine Antwort bezog sich ja auf die Meldung signierte Software" und da war Deine Behauptung, dass das MAS-only bedeutet einfach falsch.

Diese Sicherheit gibt es auch für nicht MAS.

 

[cifera]

Dein Passwort will das Ding aber genauso, sofern ich mich gerade nicht täusche.

Schon, aber solange die Fälschung nicht so aussieht wie das Original kann man es erst mal daran unterschieden.

An der Stelle kommt dann ja Gatekeeper in Mountain Lion ins Spiel. Mit entsprechenden Einstellungen sollte Gatekeeper dann ja verhindern, dass nicht signierte Anwendungen ausgeführt werden, also beispielsweise Malware-Installer wie für den Flashback-Trojaner, gar nicht erst ausgeführt werden.

Da kann man ja nur hoffen, dass der Entwickler vom Trojaner nicht auch mal eine Signatur besorgt … Webzertifikate lassen grüßen.