Mac OS X Trojaner in raubkopierter iWork '09 Software

[SelonScience]

Lädst Du offiziell bei Apple runter, ist auch kein Trojaner drunter...

dann auch legal bei der piratenbucht, da es ja eine gratis Trial ist. Nur ist noch ein kleines "Geschenk ungefragt mit dabei"

 

[bernie313]

wieso soll er sich nicht verbreiten können, er kann ja code nachladen und dann eine email verschicken mit attachement filmchen via mail oder weiss ich wass, eine neue sicherheitslücke ausnutzen wie sie momentan in Safari existiert (http://www.heise.de/newsticker/Sicherheitsluecke-in-Apples-Safari--/meldung/121592).

Nichts für ungut.

Das kann er eben nicht unter OS X und die Beweisführung mit der Sicherheitlücke in Safari, da sehe ich keinerlei Zusammenhang auch Safari lädt nicht nach
Aber nochmal die Frage, woher hast du die Info mit 10.5.2 und keiner Passwortabfrage, das wäre nämlich etwas, was eher Sorgen machen könnte, ein Install in rootEbene ohne Passwortabfrage

 

[frankpaush]

... was ich mich die ganze Zeit frage: es gibt doch Little Snitch, wenn ein Programm sich versucht per Internet zu verbinden, fragt der nach, ob das darf. sollten damit nicht solche Scherze unterbunden sein?

 

[in2itiv]

Edit2: Quicktime "suckt" ja auch. VLC rules Kommt halt davon, wenn man sich auf Software verlässt, die ins System "gebundled" ist (Safari, Quicktime). Sieht man doch auf Windows-Seite (IE, Windows Media Player).

....schön, das QT bei dir nuckelt

...allerdings solltest du bedenken, das ein Großteil von OSX aus dem quicktime.framework besteht. das was du meinst ist der "Player", den die meisten User als "Quicktime" warnehmen. OSX sowie einige Programme wie FinalCut Pro, DVD Studio Pro und Apple Motion würden ohen QT nicht laufen.

QuickTime wird irrtümlicherweise zumeist auf den QuickTime Player reduziert. Dabei arbeitet es als zugrundeliegender technologischer Unterbau in zahlreichen Applikationen beider Betriebssysteme wie zum Beispiel Adobe Premiere, Apple Logic, Optibase Media 100, iTunes, Final Cut Pro oder den Avid-Videoschnittprogrammen.

 

[martinibook]

Sowas schon, aber wenn der durch Safari was runderlädt, dann geht das durch LittleSnitch durch, es sei denn, du hast Safari geblockt.

Aber dass der Trojaner sich installiert, wird dadurch nicht verhindert.

 

[frankpaush]

Sowas schon, aber wenn der durch Safari was runderlädt,

... mal angenommen, der täte das, was kann er dann damit anfangen?

Aber dass der Trojaner sich installiert, wird dadurch nicht verhindert.

... solange er nur Plattenplatz belegt, ist das ja wumpe. Wenn ich das richtig verstehe, muss er nach der Installation ja noch gestartet werden (ok, das macht er vielleicht als startupitem), und sich irgendwie mit dem Internet in Verbindung setzen, wenn er was bewirken will, oder? Startet er dann Safari nach??? ohne Fenster über Safari?? ohne Downloadfensteranzeige???

Hat das Teil jemand und mag es hier mal zum DL hinlegen?

 

[martinibook]

Ist halt die Frage, in wie weit man den Safari missbrauchen kann. Wahrscheinlicher wird der direkt etwas runterladen und dann kann man es mit einer Application Firewall abfangen.

 

[Shetty]

Warum heißt das eigentlich Trojaner?

 

[maba_de]

... mal angenommen, der täte das, was kann er dann damit anfangen?


... solange er nur Plattenplatz belegt, ist das ja wumpe. Wenn ich das richtig verstehe, muss er nach der Installation ja noch gestartet werden, und sich irgendwie mit dem Internet in Verbindung setzen, wenn er was bewirken will, oder?

falsch:
Dieser versteckt sich innerhalb des Installerpakets dieser iWork-Kopie und erhält Vollzugriff auf das System, wenn iWork installiert wird. Einmal installiert, startet der Trojaner getreu seine Dienste und verbindet sich mit einem externen Server. Von da aus haben Dritte dann die Möglichkeit komplett die Kontrolle über das System erlangen.

Link ist im ersten Post, lesen hilft.

 

[bernie313]

Trojaner, weil er sich als Programm oder sonstige tarnt, dem User etwas vorgaukelt, was er aber nicht hält, er ist also kein Geschenk der Griechen, sondern der Beginn des Unterganges Trojas.

 

[martinibook]

Warum heißt das eigentlich Trojaner?

Das Schadprogramm (Odysseus) versteckt sich in anderer Software (Trojanisches Pferd) wie iWork und man nimmt es gerne entgegen und installiert es.

 

[frankpaush]

falsch:
Dieser versteckt sich innerhalb des Installerpakets dieser iWork-Kopie und erhält Vollzugriff auf das System, wenn iWork installiert wird. Einmal installiert, startet der Trojaner getreu seine Dienste und verbindet sich mit einem externen Server.

muss dazu nicht dem Dienst das Internet offen stehen? (->Little Snitch)

 

[SelonScience]

Aber nochmal die Frage, woher hast du die Info mit 10.5.2 und keiner Passwortabfrage, das wäre nämlich etwas, was eher Sorgen machen könnte, ein Install in rootEbene ohne Passwortabfrage

http://www.heise.de/newsticker/Trojanisierte-Kopie-von-Apple-iWork-2009-in-Umlauf--/meldung/122220

 

[SelonScience]

muss dazu nicht dem Dienst das Internet offen stehen? (->Little Snitch)

es kommt darauf an wie er ins netz will.

 

[bernie313]

http://www.heise.de/newsticker/Trojanisierte-Kopie-von-Apple-iWork-2009-in-Umlauf--/meldung/122220

Danke, den Artikel von Intego kannte ich, darauf verweist auch Heise, aber wo da nun 10.5.2 steht ist mir ein Rätsel. Wie gesagt, in rootEbene konnte man auch vor 10.5.2 nicht ohne weiteres installieren.

 

[frankpaush]

es kommt darauf an wie er ins netz will.

und wie könnte er es wollen, ohne sichtbare Spuren zu hinterlassen bzw. dabei auf zu fallen??

 

[SelonScience]

Danke, den Artikel von Intego kannte ich, darauf verweist auch Heise, aber wo da nun 10.5.2 steht ist mir ein Rätsel. Wie gesagt, in rootEbene konnte man auch vor 10.5.2 nicht ohne weiteres installieren.

Scheint schon zu stimmen, aber mit der Version ab der es geht herrscht Unsicherheit. Auf deutsch bei iwork installation started die installation des trojaners ohne passwortabfrage, und kopiert sich in die Startupitems, wo er root rechte hat.

"The installer for the Trojan horse is launched as soon as a user begins the installation of iWork, following the installer’s request of an administrator password (in older versions of Mac OS X, 10.5.1 or earlier, there will be no password request). This software is installed as a startup item (in /System/Library/StartupItems/iWorkServices, a location reserved normally for Apple startup items), where it has read-write-execute permissions for root."

http://www.insanely-great.com/news.php?id=10086

 

[SelonScience]

und wie könnte er es wollen, ohne sichtbare Spuren zu hinterlassen bzw. dabei auf zu fallen??

In dem er ein normales, trusted Programm wie Safari benutzt.
Software firewalls sind eine illusion, nützlich bis zu einem bestimmten Grad.

 

[frankpaush]

mit welcher IP verbindet sich das Teil? über welchen Port?

ich habe die Texte nun mal erneut gelesen, solche Details stehen da nicht.
Was tut das Pferdchen dann, wenn es etwas downloaded/downloaden lässt? (und wie macht es das eigentlich ohne Benutzerdaten? oder hat es die schon?)
Kann Safari einfach was runterladen, ohne dass man was davon sieht?

 

[bernie313]

Aber woher kommt jetzt dieser Text, das keine Passwortabfrage kommt, heise und Insanely berufen sich ja augenscheinlich auf Intego, und dort steht zwar der genaue Text, aber der Passus mit den alten Versionen fehlt, entweder ist also der Intego Text veraltet oder Intego hat korrigiert. Oder es gibt noch einen weiteren Intego Text, den ich bisher aber nicht gefunden habe, nur Verweise von anderen Webseiten auf eben diesen bekannten Text ohne den Hinweis auf die älteren Versionen.