Trojan für Mac 10.39 + Firefox?

Diskutiere mit über: Trojan für Mac 10.39 + Firefox? im Sicherheit Forum

  1. FDT

    FDT Thread Starter MacUser Mitglied

    Beiträge:
    5
    Zustimmungen:
    0
    Registriert seit:
    23.05.2006
    Zu meiner gestrigen Anfrage wusste leider keiner was. (What happened?) Ich versuche es nochmal kompakter, es haben sich auch neue Fragen ergeben.

    Nochmal das Ergebnis des Firefox Absturzes nach Aufruf einer Webseite:
    1. Firefox: abgestürzt, bookmarks-Datei mit der Library von iTunes überschrieben. Nach Neustart nicht mehr aufrufbar. Inzwischen neuinstalliert, die Bookmarks aus den Backups wiederhergestellt.
    2. Safari: Alle persönlichen Einstellungen weg, neues Lesezeichenverzeichnis mit Werkseinstellungen angelegt. Die früher angelegten Lesezeichen fanden sich jedoch noch im neuen Verzeichnis. Die hatte ich zunächst übersehen.
    3. NetNewsWire Lite: Subscritionsverzeichnis gelöscht, neues Verzeichnis mit Werkseinstellungen angelegt. Inzwischen die Subscriptions aus den Backups wiederhergestellt.
    4. System! (OSX 3.9): Dockeinstellungen gelöscht und in Urzustand versetzt, Darstellungsgrössen und - vorgaben der Desktopdarstellung vergessen und in Lieferzustand versetzt. (zB. grosse Symbole, falsche Schriftgrösse etc.)
    5. iTunes: Library kann nicht mehr gelesen werden. Die Files sind jedoch unbeschädigt, wie's aussieht, liegen aber auch auf einer externen Festplatte und nicht in meinem Privatordner.
    6. iPhoto: Library wird nicht gefunden + neu angelegt. Die Files sind noch da, liegen aber auch extern, nicht in meinem Privatverzeichnis.

    Irgendetwas hat also auf meine Verzeichnisse / Libraries eingewirkt, sie gelöscht und im Falle von Firefox (Vers. 1.5.0.3) die Bookmarks sogar mit der iTunes Library als Textfile überschrieben.

    Entweder also eine Systemfehlfunktion, die mit einem Schlag meine gesamte Ordnungsstruktur für Fotos, Soundfiles und Bookmarks zerschiesst oder aber etwa ein Virus/Trojaner???

    Halte ich eigentlich auch für unmöglich. Firefox, OSX 3.9, das scheint mir immer sicher, oder? Habe trotzdem nochmal ClamXav meine gesamte Library scannen lassen. Und er hat was gefunden:

    --------------------------------------
    Scan started: Wed May 24 17:34:29 2006

    /Users/......./Library/Caches/Java Applets/cache/javapi/v1.0/file/VerifierBug.class-3d2b098a-41ccefef.class: Java.Bytverify.896 FOUND
    /Users/......./Library/Caches/Java Applets/cache/javapi/v1.0/file/VerifierBug.class-3d2b098a-41ccefef.class: moved to '/infected///VerifierBug.class-3d2b098a-41ccefef.class'

    -- summary --
    Known viruses: 56467
    Engine version: 0.88.2
    Scanned directories: 2549
    Scanned files: 7866
    Infected files: 1
    Data scanned: 1333.17 MB
    Time: 2649.107 sec (44 m 9 s)


    Ich weiss, dass das ein PC-Trojaner ist. Jedenfalls habe ich über Google nur von PC-Nutzern dazu was gefunden und auch sonst nix von ausführbaren, ins System eingreifenden Skripten für OSX 3.9 gehört.

    Als ich jedoch diese Beschreibung gelesen habe, fühlte ich mich an das, was mir da passiert ist, durchaus erinnert. Zumal ich auch mit dem jetzt neuinstallierten Firefox ausgerechnet mit einem Such-Plugin plötzlich Probleme habe.

    Kann ich meinem Mac noch trauen?
     
  2. MacZappi

    MacZappi Gast

    Zitat:
    Die Classloader-Dateien sind Teil der Internet Explorer Homepage-Hijacker-Trojaner, die den IE über eine bösartige Webseite infizieren, indem sie die Sicherheitslücke Java Classloader Byteverify oder andere Schwachstellen im Internet Explorer ausnutzen. /Zitat

    Wo hast Du dich rumgetrieben? :Oldno:
     
  3. FDT

    FDT Thread Starter MacUser Mitglied

    Beiträge:
    5
    Zustimmungen:
    0
    Registriert seit:
    23.05.2006
    Im gestrigen Beitrag den ganzen Vorgang beschrieben. Es müsste http://www.cocaineblunts/blog/test.html (Ein Blog über HipHop) gewesen sein. Jedenfalls passierte das alles nach Neuaufruf der Seite aus dem Lesezeichenmanager. Ist ohnehin dubios, weil der eigentliche Link, von dem ich ursprünglich kam, zu www.cocaineblunts.com gehören sollte. Und das ist ne jahrealte, auch von der Village Voice schon empfohlene HipHop-Seite. Das da oben sieht nach deren Blog aus. Aber "test"?

    Ich hatte diese Seite aber auch - wie gestern erwähnt - zusätzlich in Safari und NetNewsWire geöffnet. Auch so könnte das passiert sein.

    Sowas passiert ja auch schonmal. Nur werden auf dem Mac solche Java-Skripte eigentlich wirkunslos. Deswegen auch meine Skepsis und Überraschung.
     
  4. Chicago Whistle

    Chicago Whistle MacUser Mitglied

    Beiträge:
    2.375
    Zustimmungen:
    14
    Registriert seit:
    24.08.2005
    Und Du kannst andere Faktoren ausschließen? hast also nicht Deinen Home Ordner umbenannt? Oder irgengendwas aufgeräumt oder getunt oder temp Dateien gelöscht oder irgendwas? Nein? Und was ist die Dockablage?
     
    Zuletzt bearbeitet: 24.05.2006
  5. moses_78

    moses_78 MacUser Mitglied

    Beiträge:
    1.322
    Zustimmungen:
    22
    Registriert seit:
    08.04.2005
    Wenn deine Story stimmt, und da tatsächlich
    ein Trojaner am Werk war, falle ich -noch heu-
    te- vom Glauben ab :kopfkratz
     
  6. FDT

    FDT Thread Starter MacUser Mitglied

    Beiträge:
    5
    Zustimmungen:
    0
    Registriert seit:
    23.05.2006
    Also so einen richtig depperten Fehler schliesse ich mal aus. So, wegen Umbennen, verschieben, etc.pp.

    War schon so, wie beschrieben. Der Aufruf der Seite aus dem Cache - in Firefox - machte Zicken, dargestellt wurde eine Textzeile meiner Bookmark.html-Datei, nach erneutem Aufruf war dann das Textfeld der Seite im Browserfenster angefüllt mit einem Textfile. (Das sich später als meine iTunes-Lib herausgestellt hat.) Das alles spielte sich im variablen Textfeld der o.g. Seite ab, der schwarze Gestaltungsrahmen drumrum war vorhanden.

    Dann stürzte Firefox ab + ward nicht mehr ans Laufen gebracht. Anschliessend, nach Neustart mit extrem langer FileVault-Operation, stellte ich die Schäden an den anderen Programmen und am System fest. (Dock-Einstellung bedeutet: Grösse, Verhalten bei Öffnen, welche Symbole sind abgelegt?)

    Seither halte ich das eigentlich alles für eine - nicht minder schlimme - Mega-Systemfehlfunktion. Wg Überlastung, Pufferbatterie, was weiss denn ich. Ich weiss schon, warum ich dem Ordnungssystem von iTunes und iPhoto z.B. skeptisch gegenüberstehe. Es würde wohl reichen diese library-Dateien zu beschädigen um einen vernünftigen Zugang zu den Dateien zumindest zu erschweren. Und genau diese persönlichen Verknüpfungen + Einstellungen zu den Programmen waren eben alle gleichzeitig mehr oder weniger betroffen.
    (Also z.B. auch die persönlichen preferences, wie konfigurierte Leisten, Hintergrundfarben etc.)

    Auf die Idee, es könnte sich tatsächlich um ein von aussen kommendes Übel handeln, hat mich erst der ClamXav - Fund gebracht.

    Ich nutze das System jetzt erstmal weiter, die Einstellungen sind soweit wieder hergestellt. Werde nun häufiger scannen und meine Verbindungen mit Little Snitch im Auge behalten.
     
  7. MacZappi

    MacZappi Gast

    Man kann Objekte im Dock ablegen, so als Zwischenablage, das ist der rechte Bereich vom Dock, links neben dem Papierkorb (Da hat man´s dann nicht so weit:D)

    @moses: daß es ein Trojaner war bezweifele ich sehr stark.
    1. Die Seite ist doch eher als harmlos anzusehen.
    2. Gäbe es einen funktionierenden Trojaner für MacOS X wäre dieses Forum sicherlich gesprengt durch alle möglichen Beiträge darüber.

    Ja ich gebe zu, daß ich als eines der ersten Programme auch ClamXav geladen habe nach der ersten Update-Orgie meines "neuen" G4.
    Das ist wohl "normal" nach 15 Jahren Windows. Immer wieder bekomme ich die gleiche Antwort auf die Frage "Ja wie ist denn das nun mit den Viren und MacOS X?" "Da gabs wohl mal zwei, die liefen aber nur unter OS 7 oder so." Also liegt ClamXav im Archiv.
    Zum Vergleich: ein neu installiertes Windows-System überlebt im Netz, ohne Antivirenprogramm, kaum länger als 10 Minuten. Dann ist es zu 99% verseucht mit Würmern und Trojanern, ein Zombie, Datenmüll.

    @FDT: vielleicht ist dein Firefox einfach nur unter der "Last" in die Knie gegangen?
    Hat das System genügend Speicher?
    Läuft FireFox stabil, ist das ne Beta?

    Im Systemprofiler gibt es ganz rechts einen Reiter <Protokolldateien>
    Schau da mal rein. Die *crash.log Dateien können ja vielleicht Auskunft darüber geben, was da los war. Wie man den Inhalt deutet weiss ich allerdings nicht.

    MacZappi
     
  8. mikne64

    mikne64 MacUser Mitglied

    Beiträge:
    3.097
    Zustimmungen:
    92
    Registriert seit:
    02.04.2004
    Hi,

    willkommen im Forum! :)

    Mehrere Anwender berichteten hier über Probleme beim Einsatz von Filevault. Könnte nicht FileVault die Ursache gewesen sein?

    Viele Grüße
     
  9. FDT

    FDT Thread Starter MacUser Mitglied

    Beiträge:
    5
    Zustimmungen:
    0
    Registriert seit:
    23.05.2006
    Reingeguckt. Nicht verstanden. Verfüge aber auch nur über "hochgefährliches Halbwissen". Firefox crash.log ist natürlich vorhanden.

    Habe auch schon gedacht, dass das einfach zuviele Operationen gleichzeitig gewesen sind. Oder dass sonstwas total schiefgelaufen ist. Deshalb habe ich auch gestern schon gefragt, ob es nicht vielleicht wirklich mit einer alten Pufferbatterie zusammenhängen könnte. Ein Freund sprach von "seltsamsten Dingen", die beim Ausfall der Pufferbatterie passieren könnten. Trotzdem - am Ende bleibt ein absolut Apple-untypischer Schaden. Hatte ich bisher in 20 Jahren als Anwender nicht.

    P.S.: Zu FileVault kann ich nichts sagen, ausser dass es aussergewöhnlich lange und langsam (so hörte sich zumindest das Geräusch der Festplatte an) lief. Direkt nach dem Browsercrash und beim zweiten Neustart danach. Seither verhält es sich wieder normal.
     
  10. MacZappi

    MacZappi Gast

    Das Festplattendienstprogramm hast du auch nochmal laufen lassen? Soll ja manchmal helfen.
     
Die Seite wird geladen...
Ähnliche Themen - Trojan Mac Firefox Forum Datum
Mac Backup auf Amazon Cloud Drive Programm gesucht.... Sicherheit 17.11.2016
DHL-Phishing Mail und Mac OSX Sierra Sicherheit 16.11.2016
Hilfe: Was ist oder macht Hacked by Cold TroJaN Sicherheit 17.08.2011
Boonana Trojan Horse Sicherheit 28.10.2010
trojan-downloader und weitere probleme.. Sicherheit 08.03.2007

Diese Seite empfehlen

Benutzerdefinierte Suche