Heise: Trojaner zielt auf MacOS

maba_de schrieb:
Avalon, ich befasse mich nach 10 Jahren Administration seit 1,5 Jahren beruflich mit IT Security. …
Zum Vergrößern anklicken....
Also ein bekennender "Security-Profi" …

maba_de schrieb:
auch wenn ihr das eine Millionen mal schreibt, bleibt es falsch!
Es gibt Trojaner, die OHNE Eingabe des Passwortes installiert werden und über Fehler in Mac OS Zugriff auf alle Dateien des Systems erhalten und dann Schaden anrichten.
trojan.osx.boonana.a zum Beispiel.
Zum Vergrößern anklicken....

… der wider besseres Wissen Märchen erzählt, denn:
Wenn Du diesen Trojaner mal ausprobierst, dann siehst Du, daß er sehr wohl Deine Einwillung für das Applet als auch später noch Deine Paßworte für den Systemzugriff benötigt. Wenn Du Angst vorm eigenen Ausprobieren hast, dann lies halt darüber: http://reviews.cnet.com/8301-13727_7-20020892-263.html

maba_de schrieb:
jemand, der Macmark als "Referenz" zur Sicherheit von Mac OS in der Fußnote führt hat keine Ahnung.
Zum Vergrößern anklicken....
(MacMark diskreditieren …)
maba_de schrieb:
brauche ich nicht, das macht der schon selbst mit seinen haltlosen Behauptungen ;-).
Zum Vergrößern anklicken....
Wie wir gerade gesehen haben, trifft das eher auf Dich zu.

maba_de schrieb:
ich weiß, "Spezialisten" wissen es besser, aber allen anderen empfehle ich mal das Interview mit von Leitner vom CCC:
http://www.heise.de/mac-and-i/artikel/Schwere-der-Luecken-ist-besorgniserregend-1194782.html
Zum Vergrößern anklicken....
Heise, beziehungsweise deren Autor als Wiederholungstäter, bekommt für seine letzten "Sicherheits"-Artikel in c't, Mac&i und auf heise.de von mir noch ein Review.

maba_de schrieb:

Heutzutage sind die Angriffe gezielt, hochgefährlich und vor allem extrem professionell (siehe Stuxnet), das Ziel ist immer Kohle. …
Und das ist der Grund, weshalb der Mac nicht im Fokus ist, weil er im Business wenig verbreitet ist. Das kann man nicht wegdiskutieren.
Zum Vergrößern anklicken....
Unzählige Firmen machen Millionen-Umsätze mit harmloser Mac-Software. Nur bösartige Software macht auf Macs keinen Umsatz. Dabei hätte der Erste circa 20+ Millionen Macs zur Verfügung. Auf Windows deinstallieren sich die Schadprogramme neuerdings hingegen gegenseitig.

blabliblubb schrieb:
Antivirenprogramme sind wohl dann sinnvoll, wenn man regelmäßig Dateien mit Windowsnutzern austauscht.
Zum Vergrößern anklicken....
Nur wenn Du fr33_p0rn_Prittney_na4ed7 Mail-Anhänge weiterleitest.
Du kannst auch Dein eigener Viren-Scanner sein:
http://www.macmark.de/osx_terminal.php#examine

SirLockholmes schrieb:
natürlich und genauso könnte dich jederzeit ein schädling auf deinem system treffen, der unbekannt ist und vielleicht über eine zero-day lücke in OSX rootrechte auf deinem system erlangt und was weiss ich mit deinen files anstellt ... in diesem szenario denke ich sind wir beide uns mal wieder einig, gibt es nicht gibts nicht - nur eine frage der zeit ...
Zum Vergrößern anklicken....
Für Systemrechte auf OS X brauchst Du ein Paßwort oder einen Bug in einem SUID-Programm oder ähnliches. Für vollen Systemzugriff auf Windows brauchst Du weder ein Paßwort noch einen Bug, sondern nur Code unter dem typischen User:
http://www.macmark.de/windows_uac_security_placebo.php
 
Ich denke, die Leute bei Sophos darf man – wirtschaftliche Interessen hin oder her – getrost als Experten bezeichnen. Sophos AV wird von vielen Unternehmen und Universitäten als Virenschutzsoftware eingesetzt, so schlecht wird's dort schon nicht laufen; die OS-X-Version gibt es so oder so nach wie vor kostenlos.
 
MacMark schrieb:
bla
Zum Vergrößern anklicken....

Hihi als ich angefangen habe zu lesen dachte ich wirklich "hey, mal endlich etwas mit Hintergrund"
Als ich dann beim Schwachsinn mit WriteProcessMemory angekommen bin, war mir dann klar, wie sehr das ein Blendertext ist.
WriteProcessMemory?? Willkommen im Jahr 2011 :D wenn jemand im gleichen Dorf ein AV App hat, läuft das doch nicht mehr - ausserdem: Lies Dir mal ein paar Texte zu mach-injections durch - das ist WriteProcessMemory auf Speed :D muhahahaha
Aber respekt - ohne Ahnung könne man echt meinen, die Infos da hätten Hand und Fuss ;)
 
Hausbesetzer schrieb:
Hihi als ich angefangen habe zu lesen dachte ich wirklich "hey, mal endlich etwas mit Hintergrund"
Als ich dann beim Schwachsinn mit WriteProcessMemory angekommen bin, war mir dann klar, wie sehr das ein Blendertext ist.
Zum Vergrößern anklicken....
Am besten beschwerst Du Dich direkt bei Mark Russinovich vom Microsoft Technet und sagst Microsoft, daß Du der offiziellen Microsoft-Technik-Doku nicht traust. Darauf beruht nämlich http://www.macmark.de/windows_uac_security_placebo.php

Hausbesetzer schrieb:
WriteProcessMemory?? Willkommen im Jahr 2011 :D wenn jemand im gleichen Dorf ein AV App hat, läuft das doch nicht mehr
Zum Vergrößern anklicken....
Anti-Virus-Software kann Dich davor nicht retten.
http://itsecuritylab.eu/index.php/2...ter-bypassing-antivirus-how-to-for-beginners/

Hausbesetzer schrieb:
- ausserdem: Lies Dir mal ein paar Texte zu mach-injections durch - das ist WriteProcessMemory auf Speed :D muhahahaha
Zum Vergrößern anklicken....
Ist einfach nicht Dein Tag heute:
http://www.macmark.de/osx_dynamic-overriding.php
Inklusive dickem Ende:
http://www.macmark.de/osx_dynamic-overriding.php#windows_injection
 
Tja gibt es wohl doch wie mein Screenshot beweist... Heute auf meinem MBP gefunden, kam über Java, kursiert wohl in den Web 2.0 Diensten über Videos die dort kreisen. Diese sind verlinkt und downloaden und installieren unbemerkt den Trojaner, achja und klar schau ich den ganzen Tag Pornos auf meinem Mac ;-) ! Ist nun gelöscht... sicher fühlen und sicher sein sind 2 Paar Schuhe...

Gruß Alf

Trojaner Screenshot.jpg
 
@Alf:
Das sind wies ausschaut alte Java-Exploits, die versuchen über eine Java-Lücke ins System zu kommen. Solange sie nur im Cache-Ordner rumliegen und dein Java auf dem aktuellsten Stand ist sollten sie wirkungslos sein. Du kannst einfach den Java-Cache leeren, der wird dann beim nächsten Verwenden der Java-Anwendungen wieder befüllt.

Details zur Lücke:
CVE-2010-0094
 
Wie bekommt man so einen Trojaner futsch ? und was kann der alles machen, auch persönliche Daten ausfischen ?
 
Wenn er schon installiert ist: neuaufsetzen und sauberes Backup einspielen. Wenn das Ding mal auf dem System ist, kann es alles machen was du auch tun könntest: pers. Daten abgreifen, interneteinstellungen manipulieren, daten löschen ...
 
iblack schrieb:
Wie bekommt man so einen Trojaner futsch ?…
Zum Vergrößern anklicken....

Unter OS X hat er keine so guten Möglichkeiten, sich zu verstecken, wie unter Windows. Die einschlägigen AV-Seiten listen jeweils die zugehörigen Dateien. Diese kann man per Hand löschen.
 
MacMark schrieb:
Unter OS X hat er keine so guten Möglichkeiten, sich zu verstecken, wie unter Windows.
Zum Vergrößern anklicken....

LauchDaemon, LaunchAgent, atd, crontab, Startobjekte, InputManager, Internet Plugins, Folder Actions, kexts, …
Sorry, wenns ein Malwareschreiber drauf anlegt, und bereits (durch die Installation des Trojaners) root-Rechte auf dem System hat, kannst du lange rumsuchen, und trotzdem nicht sicher sein alles erwischt zu haben.
MacMark schrieb:
Die einschlägigen AV-Seiten listen jeweils die zugehörigen Dateien. Diese kann man per Hand löschen.
Zum Vergrößern anklicken....
Wenn der Trojaner eine Dropperkomponente zum Nachladen neuen Codes dabeihat, hilft dir die Liste der ursprünglichen Dateien nicht viel. Zudem weisst du ja nicht, welche Manipulationen das Ding noch vorgenommen hat (Hostsdatei, DNS, Sicherheitseinstellungen, Rechteänderungen, ...)
Wenn du wirklich wieder sicher arbeiten willst, ist mmn eine Neuinstallation nach ernsthaftem Malwarebefall unumgänglich.
 
Wie kann ich mein System scannen um sicher zu gehen das ich nichts habe ?

Danke
 
Wenn deine Software auf dem aktuellsten Patchstand ist, du keine Software aus dubiosen Quellen installiert hast und beim Surfen nicht alles anklickst, was nicht bei drei auf den Bäumen ist, kannst du momentan beruhigt sein.
Windows-Viren kannst du mit ClamXav aufspüren, für Mac OS X gibts bisher zum Glück noch keine Viren in freier Wildbahn. Trojaner könnten uu ein Anhängsel bei geklaufter Software sein, zum Beispiel kursierte einige Zeit eine verseuchte iWork-Version im Netz.
 
andi42 schrieb:
Wenn deine Software auf dem aktuellsten Patchstand ist, du keine Software aus dubiosen Quellen installiert hast und beim Surfen nicht alles anklickst, was nicht bei drei auf den Bäumen ist, kannst du momentan beruhigt sein.
Windows-Viren kannst du mit ClamXav aufspüren, für Mac OS X gibts bisher zum Glück noch keine Viren in freier Wildbahn. Trojaner könnten uu ein Anhängsel bei geklaufter Software sein, zum Beispiel kursierte einige Zeit eine verseuchte iWork-Version im Netz.
Zum Vergrößern anklicken....

Aber kann ich das immer garantieren ? Klar surfe ich auch manchmal auf Seiten die nicht 100% seriös sind wie spiegel-online.
 
guitero schrieb:
Aber kann ich das immer garantieren ? Klar surfe ich auch manchmal auf Seiten die nicht 100% seriös sind wie spiegel-online.
Zum Vergrößern anklicken....
Solange du nicht irgendwelchen dubiosen Videocodecs, Javaprogramme oder sonstwas dabei installierst, eher harmlos. wichtig: Browser, Plugins (zb Flash) und Betriebssystem stets aktuell halten.
 
Ich habe den Troj/Poison-CO Trojan, habe Sophos installiert als es mit dem Internet kurz ging.

könnte sich der Trojaner denn auch im Backup verstecken, wenn ich neu installiere und das Timemachine Backup nutze ?
 
Zuletzt bearbeitet:
Ich hab bei der Anmeldung bei meinem MacOSX, da wo man die Benutzerkonten auswählt ein Konto mit Netzwerksymbol benannt "Andere Benutzer...". Wenn ich darauf zugreife, wird nach Name und Passwort gefragt. ist das so von Apple üblich, das dies Konto vorhanden ist, oder schliesst dies auf Fremdeinwirkung ?
 
Normalerweise sieht man das nur, wenn z.B. der root aktiviert wurde und du hast wahrscheinlich nicht den Troj/Poison-CO, der nutzt nur die selben Verbindungen die du angegeben hast.
 
Zuletzt bearbeitet:
iblack schrieb:
Ich hab bei der Anmeldung bei meinem MacOSX, da wo man die Benutzerkonten auswählt ein Konto mit Netzwerksymbol benannt "Andere Benutzer...". Wenn ich darauf zugreife, wird nach Name und Passwort gefragt. ist das so von Apple üblich, das dies Konto vorhanden ist, oder schliesst dies auf Fremdeinwirkung ?
Zum Vergrößern anklicken....
Vermutlich hilft dir mein Beitrag hier:
https://www.macuser.de/forum/f21/account-weg-alle-573549/index2.html#post6628398
EDIT:
Wenn du mit deinem Benutzer noch reinkommsst, brauchst du das natürlich nicht machen. Du solltesst dir aber trotzdem anschauen, wieso du diesen Menüpunkt hast. Root aktiviert?

EDIT2:
iblack schrieb:
Ich habe den Troj/Poison-CO Trojan, habe Sophos installiert als es mit dem Internet kurz ging.

Der Kernel verbindet sich auch mit:

ppp-043ved2.pppi.enet.cu (200.55.181.43), Port 51880 (unbenannt), Protokoll 6 (TCP), 0 Bytes gesendet, 54 Bytes empfangen
c-98-192-21-91.hsd1.ga.comcast.net (98.192.21.91), Port 2237 (optech-port1-lm), Protokoll 6 (TCP), 0 Bytes gesendet, 57 Bytes empfangen

oder

isman.cl.link.bg (91.192.236.247), Port 53708 (unbenannt), Protokoll 6 (TCP), 0 Bytes gesendet, 72 Bytes empfangen

Die Adressen sagen mir nichts ?

dann geht mal das Internet überhaupt nicht.

könnte sich der Trojaner denn auch im Backup verstecken, wenn ich neu installiere und das Timemachine Backup nutze ?
Zum Vergrößern anklicken....

Also Sophos hat den Trojaner auf deinem Rechner gefunden? Laut der Beschreibungsseite auf Sophos handelt es sich bei Troj/Poison-CO um einen Windows-Trojaner ?! Was genau hat Sophos ausgespuckt und woher hast du die Domainnamen von oben?
Wenn dein Mac OS wirklich von einem Mac-Trojaner befallen ist, hast du den natürlich nach dem Einspielen des TM-Backups wieder drauf, wenn er zum Erstellzeitpunkt des Backups schon auf dem System war.
lg andi42
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten