Trojaner, Spyware und Keylogger - ist dein Mac OS X verseucht?

[hagbard86]

Mit Resource-Forks könnte man sogar eine andere Endung wählen, z.B. mp3. Man könnte z.B. die Datei von maceis benennen in:

vanilla ice - brand new song.mp3

Beim Start wird wegen der Resource-Fork automatisch das Programm gestartet und ohne Anfrage und ohne Message-Window das Home-Verzeichnis gelöscht.

Deswegen solle man Daten, wie z.B. mp3, avi, pdf, jpg, u.a. ... vorher überprüfen und ggf. die Resourceforke entfernen.

Dieser Exploit ist schon länger bekannt. Apple hat nicht darauf reagiert.

OS X hat aufgrund Resource Forks deshalb eine zusätzliche Sicherheitslücke verglichen mit anderen Nixen.

bringt es da was die suffixe anzuzeigen?

 

[cilly]

Ob die suffixe angezeigt werden oder nicht, ändert nichts. Der Suffix ist ja eh ein Fake.

 

[TrusterX]

So die Letzten Seiten hab ich nimemr gelesen aber meine Meinung zu dem Thema Allgemein ist:

Nehmen wir an 90% aller Computers im Netz sind Mac

Wieviel Windows-Viren würde es geben?

Richrig, so viele dass wir sie in einer Hand abzählen kann, währenddessen es dann fürn Mac 1000te von Viren gibt.

Wer will ein System angreifen, wo man kaum was erwischt.

Denen virenetcschreiber gehts darum Möglichst viel zu zerstören (virus/trojaner) oder möglichst viel zu erbeuten (trojaner/spyware) oder möglichst zu missbrauchen (spammersoftware)

zu dem programm: i kann ma ned vorstellen dass es ein trojaner keylogger etc enthält

Virex, Norton etc sind auch nicht Freeware - is aber deswegen auch nicht gleich ein trojaner etc

ach ja dieses programm ist nicht freeware - siehe readme

 

[TrusterX]

Ob die suffixe angezeigt werden oder nicht, ändert nichts. Der Suffix ist ja eh ein Fake.

Irgendwo ist mir schon die option "Alle Suffixe anzeigen." des öfteren aufgefallen! Diese löst das suffix-problem

da ja dann zb die datei labalabalaba.mp3.app heissen würd

 

[mkoessling]

Ich werde meinen Rechner nicht mit der Software auf Spyware oder Trojaner testen, weil ich keine auf dem Mac drauf habe. Es gibt einfach keine Spyware oder Trojaner, die sich unbemerkt auf dem Mac installieren können, es muß immer der User die Installation zustimmen und Skripte müssen vom User ausgeführt werden. Und wer das tut, ist selber schuld. Wer einen Rechner benutzt, sollte sich auch mit der Sicherheit vertraut machen und nicht wie doof alles aus dem Netz saugen und installieren und alle Dialoge blind mit "Ja" bestätigen.

 

[maceis]

maceis, hast du was gegen mich, dass du dich so intensiv über meine Zitate auslässt?
...

Nein, nicht im Geringsten; im Gegenteil .
Ich interessiere mich aber schon lange für dieses Thema und finde die verschiedenen Ansichten dazu hoch interessant.
Ich vertrete meine Meinung dazu und bin neugierig auf die Argumente der anderen.
Mehr nicht.

....
Den Begriff hättest du nicht mehr klären müssen, da ......

Sorry, habe ich erst danach gelesen. Schadet IMHO trotzdem niemand, sich das mal durchzulesen.

...
***Securemac http://www.securemac.com/ ist schon längere Zeit mit sicherheitsrelevanten Aspekten bezüglich Mac OS X tätig. Die Leute, die dahinter stehen, sind bekannt und haben keine böse Absicht und bieten mit Macscan eine Möglichkeit nach Schadsoftware zu suchen.
...

Ist richtig; trotzdem bin ich persönlich der Ansicht, solche Menschen sollten vormachen, wie man es richtig macht (Gründlich informieren, was die Software macht und Quellcode offenlegen)

Von dem Vertrauensvorschuss, den diese Leutchen genießen, kann $boeser_bube übrigens profitieren.
Der nennt dann seine böse Domain eben securmac.com, securemac.org, secure-mac.com o. ä. und gestaltet seine Webseite genau so, wie die das machen (bzw. benutzt deren htmlcode)

...
Ich hab's herunter geladen und nicht gestartet sondern, etwas genauer betrachtet. Allerdings ist es ein fertiges Binary.
...

Ja was denn sonst? Ein Shellskript etwa?

...Werde es evtl. wenn ich viel Zeit habe mal debuggen...

Würde mich freuen, wenn Du mich über das Ergebnis informierst .

...Ein Router stellt aber in Verbindung mit NAT bzw. PAT eine zusätzliche Hürde da, die ein Trojaner erst einmal überspringen muss. Somit kann ein Router sehr wohl vor Viren oder Trojaner schützen.
...

Nein!
Da der Trojaner sich im inneren Netzwerk befindet, lässt der Router ihn nach draussen verbinden. $boeser_bube hat damit den Vorteil, dass der Router von ihm ein Antwortpaket (SYN_ACK Bit ist bereits gesetzt) erhält.
Die Pakete von $boeser_bube werden mittels NAT an den komprimitierten Rechner weiter geleitet.
Selbst bei restriktiv konfigurierten Routern und Firewalls sind einige Ports fast immer zumindest von innen offen (25, 80, 110 etc.). Über diese lässt sich dann ggf. prima nach außen tunneln .
Ein Router kann gegen andere angriffe schützen, gegen Trojaner ist er aber letztendlich machtlos (von einfallslosen port-listeners mal abgesehen).

...
maceis, ich hoffe du verzeist mir die wörtliche Spitzfindigkeit.
Nun, du glaubst gar nicht, auf wieviele Dateien ein normaler User ohne Adminrechte Leserechte hat. Leserechte reichen zum Scannen vollkommen aus. Ich würde es deshalb durchaus als Alternative in Betracht ziehen.

Ja sicher, ich bin ja selber spitzfindig .
Also: Benutzer Ben1 hat eine Freeware in seinem persönlichen Programmeordner installiert oder per Email erhalten, die ein Trojaner ist.
Du legst Benutzer Ben2 an und scannst. Für den Trojaner hast Du aber keine Leserechte, kannst ihn somit gar nicht finden.

Oder noch schlimmer:
Ben1 hat eine Software zur Systempflege installiert. Dabei musste er sein Adminkennwort eingeben. Die böse Software hat dann schnell einen Benutzer mit einer UID angelegt, die dem Bereich der Systemkonten zugeordnet ist. Dieser Benutzer hat Adminrechte.
Ben2 scannt wieder - ... und wird wieder nichts finden.
$boeser_bube kann dann auf dem Rechner *alles* machen.

Nicht falsch verstehen, liebe Cilly, aber der Nutzen dieser Software bewegt sich IMHO innerhalb sehr enger Grenzen.

So, ich hoffe, dass Du mir meine Ansichten auch nicht übel nimmst und versichere noch einmal ausdrücklich, dass ich nichts, aber auch gar nichts gegen Dich habe .

 

[cilly]

Wie ist das, wenn ihr z.B. an einem fremden Mac sitzt und z.B. im Web mit Passwörter surft? Überprüft ihr vorher auf Spyware, Keylogger, etc.?

 

[maceis]

Irgendwo ist mir schon die option "Alle Suffixe anzeigen." des öfteren aufgefallen! Diese löst das suffix-problem

da ja dann zb die datei labalabalaba.mp3.app heissen würd

Und was, wenn ich die Endung einfach weglasse und ein mp3 Icon vergebe?

 

[mkoessling]

Wie ist dass, wenn ihr z.B. an einem fremden Mac sitzt und z.B. im Web mit Passwörter surft? Überprüft ihr vorher auf Spyware, Keylogger, etc.?

Auf die Idee würde ich noch nicht mal kommen, auf einem fremden Rechner im Internet mit meinen Passwörtern zu surfen.
Würdest du mit einem fremden Auto, das du nicht kennst, mit 250 Sachen auf der Autobahn rasen?

 

[cilly]

GraphicConverter hat auch kein suffix und wird als Programm ausgeführt. Suffixe anzeigen bringt nicht den erhofften Durchblick.

 

[cilly]

@maceis

Danke für die Richtigstellung bezüglich Router.

Für die ganz Paranoiden:

Ein Festplatten-Image von der aktuellen Installation erstellen, dieses dann komplett mit sudo chmod -R ugo+r / versehen, davon booten und dann mit dem Scanner testen.

 

[orgonaut]

So ich hab' mir diesen Thread nicht bis zu ende durchgelesen, aber ich verwende Little Snitch und der passt auf das nichts nachhause telefoniert was nicht soll.

 

[macsurfer]

Moin,
ich werde keinen Test machen, denn wenn jemals ein Schadprogramm gefährlich würde, dann werde ich es HIER erfahren. Also seid weiterhin schön wachsam und ich verfolge aufmerkam dieses Forum...

Gruß,

Stefan

 

[KAMiKAZOW]

Danke für die Erwähnung von MacScan. Es ist gut und richtig, dass es solche Programme auch für Macs gibt. Habe meine Platte gescannt und das Programm hat nix gefunden.

Allerdings ist dieses Programm in der aktuellen Form relativ unbrauchbar. Denn woher soll ich denn wissen welche Trojaner etc. gefunden werden können, solange auf http://macscan.securemac.com/spywarelist.html nur "Coming soon is a complete list of spyware for the Macintosh that MacScan detects" steht? Es könnte ja sein, dass MacScan nur nach Cookies von Doubleclick sucht, während ich mir unachtsamer Weise ein Root-Kit (und die gibt's für OSX) eingefangen habe. Ohne eine vollständige Liste kann man noch nicht einmal ansatzweise Sicherheit haben, in wieweit MacScan einen schützt. (Und selbst wenn es die Liste gäbe, gäbe es noch keinen Beweis für ihre Stichhaltigkeit.)

Ich werde MacScan wohl genauso wie ClamXav installiert lassen und in unregelmäßigen Abständen ausführen. Und wie immer wird allerhöchstens ein per e-Mail verschickter Windows-Trojaner gefunden werden, der von Thunderbird eh automatisch als Spam aussortiert wird.

Nehmen wir an 90% aller Computers im Netz sind Mac

Wieviel Windows-Viren würde es geben?

Richrig, so viele dass wir sie in einer Hand abzählen kann, währenddessen es dann fürn Mac 1000te von Viren gibt.

Och ne, nicht schon wieder so ein Schein-Argument. Mac OS X ist von ganzen Sicherheitskonzept her schlicht besser als Windows. Das liegt (platt formuliert) an den Unix-Wurzeln und dass selbst ein Admin-User für viele Dinge erst explizit durch eine Passwort-Eingabe seine Bestätigung geben muss. Und auch werden standardmäßig nicht allerhand Dienste ausgeführt. Viele Dienste, die potenziell ein Risiko darstellen, müssen unter OSX erst eingeschaltet werden (z.B. Datei-Freigabe), während unter Windows XP erst einmal alles läuft und erst nachträglich abgeschaltet werden kann.

Oder schauen wir uns doch mal den Top-Plan von MS für Windows Vista an: Einzelne Anwendungen wie der IE können mit niedrigeren Rechten laufen. Hallo? Was für ein beknacktes Sicherheitskonzept ist das denn? Ein anständiges Konzept sieht eher das genaue Gegenteil aus. Nämlich, dass alles mit niedrigeren Rechten läuft und bestimmte Anwednungen höhere Rechte bekommen und genau das macht OSX selbst bei Admin-Accounts.

Klar kann niedrigere Verbreitung helfen etwas sicherer vor Angriffen zu sein. Das wird im Englischen auch gerne "Security by Obscurity" genannt. Du stellst das aber als den Hauptgrund für die Sicherheit von bestimmter Software (hier OSX) dar, aber hast du auch nur einen Beweis dafür? Ich glaube nicht.
Ich kann dir aber ein Gegenbeispiel geben: Der Apache Webserver ist mit IIRC ca. 70% Marktanteil der am weitesten verbreitete Webserver. Trotzdem ist er sicherer als der IIS von MS, der bei ca. 25% rumdümpeln dürfte. Bei der Verbreitung wäre es möglich fast das ganze Internet durch automatisierte Apache-Würmer lahm zu legen, aber die bekanntesten Webserver-Epedemie waren "Code Red" & "Slammer" und die haben Programme von MS getroffen mit vergleichsweise niedrigem Marktanteil.

 

[TrusterX]

Und was, wenn ich die Endung einfach weglasse und ein mp3 Icon vergebe?

naja bei mir hat jede musikdatei ein suffix, eine ohne würde bei mir sofort gekillt werden, obwohl es eigendlich beu unix die suffixe egal sind
mach sie einfach chmod 744 wenn ein gültiger code drinnen ist, kannst ihn starten

 

[crucible]

.......nichts gefunden hier.....

 

[macmeikel]

Oder schauen wir uns doch mal den Top-Plan von MS für Windows Vista an: Einzelne Anwendungen wie der IE können mit niedrigeren Rechten laufen. Hallo? Was für ein beknacktes Sicherheitskonzept ist das denn? Ein anständiges Konzept sieht eher das genaue Gegenteil aus. Nämlich, dass alles mit niedrigeren Rechten läuft und bestimmte Anwednungen höhere Rechte bekommen und genau das macht OSX selbst bei Admin-Accounts.

DropMyRights heisst diese Frickelei bei Microsoft Hört sich an wie "Drop my pants" ...

 

[Elbe]

Nehmen wir an 90% aller Computers im Netz sind Mac

Wieviel Windows-Viren würde es geben?

Richrig, so viele dass wir sie in einer Hand abzählen kann, währenddessen es dann fürn Mac 1000te von Viren gibt.

Nehmen wir an, ich wäre Virenprogrammierer. Wie könnte ich denn in der Szene richtig Furore machen und Respekt einheimsen? Indem ich den 37.496sten Windows-Virus, -Trojaner oder sonstwas schriebe, oder es mir gelänge, den ersten Mac OS X Virus in die Wildbahn zu bringen?

Martin

 

[Time4more]

Nehmen wir an, ich wäre Virenprogrammierer. Wie könnte ich denn in der Szene richtig Furore machen und Respekt einheimsen? Indem ich den 37.496sten Windows-Virus, -Trojaner oder sonstwas schriebe, oder es mir gelänge, den ersten Mac OS X Virus in die Wildbahn zu bringen?

Martin

die Scriptkiddies die Du meinst sind aber zu dumm einen echten Virus zu schreiben. Die Baukästen existieren nur für Windows.

Die Profis die das könnten arbeiten aber nur auf lukrativen Märkten.
Und da ist die Masse der oftmals unbedarften Mausschubser die ein Daddelwindows nutzen und hipp sein wollen eben wesentlich aktraktiver.

Ich persönlich gehe davon aus, das es nicht unmöglich ist einen gut funktionieren Wurm für OSX zu schreiben, sondern das es sich schlicht einfach nicht lohnt ( $, Euro ).

Sollte aber ein solcher Wurm oder Virus einmal auftauchen wäre das um so fataler - es gibt einfach kein Tool welches der breiten "Masse" der Mac User zu Verfügung steht, welches diesen Schädling dann auch einem Update erkennen würde.

Gruß
Patrick

 

[wonder]

Nehmen wir an, ich wäre Virenprogrammierer. Wie könnte ich denn in der Szene richtig Furore machen und Respekt einheimsen? Indem ich den 37.496sten Windows-Virus, -Trojaner oder sonstwas schriebe, oder es mir gelänge, den ersten Mac OS X Virus in die Wildbahn zu bringen?

...einen 2. michelangelo oder sasser zu schreiben...
nicht jeder priesster ist papst - nicht jeder politiker ist präsident

aber im ernst - als windows nutzer hat mich mac os nicht interessiert - so gesehen wird es nur von mac interessierten usern wahrgenommen - win user werden es maybe nicht einmal registrieren, da es für sie eine übliche meldung wäre... sie befassen sich nicht mit macs.

...außerdem ist die verbreitung schwierig...

darum glaube ich nicht an einen mac virus - sollte man mich eines besseren belehren, nähert sich der mac auch in diesem punkt meinen windows kisten an...

ciao
w