Virenangriffe für Mac unterschätzt?

[ProUser]

wo habe ich was anderes gesagt, als dass es Trojaner sind? Natürlich ist im Endeffekt der Benutzer selber schuld - wie auch in 95% der Fälle bei Schädlingsbefall unter Windows. Aber das ändert nichts an der Tatsache, dass Malware auf dem Rechner ausgeführt wurde und dieser somit kompromittiert ist. Wie gesagt gibts es sogar recht große Mac-Botnetze, die durch die Gier (Photoshop und iWork "gratis"!) und Ignoranz (ich hab nen Mac, mir passiert nichts!!111) mancher Benutzer auf deren Rechner gekommen sind.

Mit dem Satz "..bedeutet, dass es keine verseuchten/kompromittierten Mac OS X Systeme in freier Wildbahn gibt!" ist gemeint, Systeme die nicht durch den Benutzer selbst kompromittiert wurden, ich hätte es deutlicher schreiben müssen, das stimmt!

Ich unterscheide Schädlinge die sich selbst replizieren und das System befallen und solche die explizit durch den Benutzer installiert werden müssen - letztere halte ich für weniger gefährlich, da man sie mit bestimmten Verhaltensregeln vermeiden kann. Die anderen jedoch für sehr gefährlich, da man sich davor nicht einfach so schützen kann, denn Würmer befallen das Systeme wenn es einfach an ein Netzwerk (z.B. Internet) angeschlossen ist, Viren hängen sich selbständig an Dateien und befallen beim Datenaustausch andere Systeme, wie will man sich davor schützen können ausser mit einem AV-Scanner? Trojaner lassen sich einfach vermeiden, Viren und Würmer nicht. Wie soll da der Windows-Benutzer in 95% selbst schuld sein? Bei Trojanern trägt der Benutzer die Verantwortung, bei sich selbst replizierenden Schädlingen kann er wenig tun ausser einen AV-Scanner zu benutzen! Und das ist das Problem des Systems, nicht des Benutzer, denn Viren und Würmer greifen direkt das System an, Trojaner gehen den Weg ausschliesslich über den Benutzer und können gar nicht anders.

Und das Botnetze unter OS X ein Massenphänomen sei, müsstest Du auch noch belegen, es ist eher das Gegenteil der Fall! Mac-User neigen eher dazu sich die Software zu kaufen.. Und nicht jede Illegale-Softwarekopie ist automatisch verseucht, das musst man auch sagen.. Dazu nutzen dann doch viele, die sich eben solcher Kopien bedienen, einen AV-Scanner, so blöd sind dann doch nicht alle, wer illegale Software bezieht, weiß i.d.R. dass diese eben auch einen Trojaner haben kann.. Und was sollen immer diese Unterstellungen, dass Mac-User generell meinen "mir kann nichts passieren"? Viele wissen sehr wohl was wann passieren kann und verhalten sich entsprechend, einige wissen es nicht, aber dann eher weil es sie nicht interessiert, sie kaufen einfach einen Rechner und machen einfach drauf los - das sind solche Menschen, davon gibt es auch unter den Windows-Benutzern mehr als genug! Di ganzen Botnetze unter Windows sprechen Bände, und ist das Problem deutlich, auf dem Mac sind Botnetze verhältnismäßig eher eine Randerscheinung..

 

[LosDosos]

kannst mir bitte einen Link per PM schicken? Würd mir gerne anschauen, wie das Ding auf den Rechner kommen kann

Ist raus.
Vor ein paar Tagen war es noch so, dass man auf Bunny- und Viagraseiten gelenkt wurde unter OS X, sonst nichts.
Jetzt lädt sich durch das reine Anklicken des Links besagter Trojaner runter.

Edit:
Der Screenshot ist von mir vor 2 Minuten erstellt worden..

 

[andi42]

Ein Virus muss auch unter Windows erst mal auf dem Zielsystem ausgeführt werden... dies geschieht meist unter Ausnutzung eines Exploits, meiner Erfahrung nach meistens von Flash Player, Adobe Reader und Java. Manchmal (zb bei Stuxnet) werden auch 0-day-Exploits des Betriebssystems verwendet, aber diese sind relativ selten und oft schwierig auszunützen (DEP, ASLR) Die wichtigste Gegenmaßnahme, fast wichtiger als ein Virenscanner: Software auf dem aktuellen Stand halten! In dieser Hinsicht geben sich Windows und OS X nicht viel, bei beiden Systemen bringt fast jedes Drittherstellerprogramm einen eigenen Updatemechanismus mit, der oft mehr schlecht als recht funktioniert. Dies ist beispielsweise bei den meisten Linux-Distributionen besser gelöst, da gibt es einheitlich verwaltbare Update-Repositorys mit signierten Paketen, Abhängigkeitsauflösung, automatischer Entfernung von nicht mehr gebrauchten Paketen etc.

Exploits funktionieren prinzipiell unter jedem System, auf dem das Programm mit der entsprechenden Lücke läuft. Wenn zb der Flash Player eine ausnutzbare Schwachstelle hat, könnte ein Malwareschreiber natürlich statt eines PE- ein Mach-O-Executable einschleusen. Allerdings wird sich der Gelegenheitscracker nicht die Arbeit antun, seine Malware auf ein weiteres System zu portieren, wenn er so nur ein paar Prozent potentieller Opfer dazubekommt.

Würmer (also Schädlinge die sich übers Netz ausbreiten) gehören seit XPSP2 fast der Vergangenheit an, da die standardmäßig aktive Windows-Firewall eingehende Verbindungen überwacht. Prinzipiell ist es aber unabhänig vom System zu empfehlen, zwischen Clientnetz und Internet eine "richtige" Firewall zu haben.

Botnetze sind im Mac-Bereich zwar noch nicht so verbreitet, aber 20.000 vermutete Infektionen sind zum Beispiel auch kein Pappenstiel. Wie du selber sagst, oft kaufen Leute einfach Rechner, klauen dann Software dazu und wundern sich dann dass sie infizierte Systeme haben. Natürlich sind nicht alle Mac-Benutzer so, aber diese zwei Faktoren sind für die Verbreitung von Mac-Trojanern sicher die wichtigsten.

 

[Mai_Ke]

Ist raus.
Vor ein paar Tagen war es noch so, dass man auf Bunny- und Viagraseiten gelenkt wurde unter OS X, sonst nichts.
Jetzt lädt sich durch das reine Anklicken des Links besagter Trojaner runter.

Edit:
Der Screenshot ist von mir vor 2 Minuten erstellt worden..

Du sollst doch nicht überall Dein Admin-Passwort eingeben

 

[andi42]

Ist raus.
Vor ein paar Tagen war es noch so, dass man auf Bunny- und Viagraseiten gelenkt wurde unter OS X, sonst nichts.
Jetzt lädt sich durch das reine Anklicken des Links besagter Trojaner runter.

Besten Dank, ich schaus mir mal an.

 

[LosDosos]

Du sollst doch nicht überall Dein Admin-Passwort eingeben

Ich klick da gerne noch 100 mal drauf.
Es lädt sich durch das reine Anlicken die Zip-Datei zwar runter und der Screen erscheint, die mpkg darin muss aber extra installiert werden.

Ein Virus muss auch unter Windows erst mal auf dem Zielsystem ausgeführt werden... ..

wie gesagt, unter Vista/Firefox/Antivir (alle aktuell) installierte sich der sogenannte BKA-Trojaner unter genau demselben Link, den ich Dir geschickt habe (und der unter OS X den Mac Protector-Trojaner runterlädt) bei der Freundin komplett von alleine.

 

[Mai_Ke]

wenn Du mir den Link auch schickst, kann ich testen, was unter Win7, Security Essentials und eingeschränkten Nutzerrechten passiert

Will das System sowieso platt machen, weil die HDD getauscht wird

 

[andi42]

@LosDosos:
Es handelt sich um einen Java-Exploit, der eine Lücke in JRE 1.6.23 auszunützen versucht. Also wieder mal der Fall mit nicht aktueller Software.

EDIT: genauere Infos von virustotal.com

File name:
mndrtdsf.jar
Submission date:
2011-05-23 16:11:06 (UTC)
Current status:
queued (#53) queued analysing finished
Result:
17/ 42 (40.5%)
	
VT Community

malware
 Safety score: 0.0% 
Compact
Print results
Antivirus 	Version 	Last Update 	Result
AhnLab-V3	2011.05.23.01	2011.05.23	-
AntiVir	7.11.8.102	2011.05.23	Java/Exdoer.BC
Antiy-AVL	2.0.3.7	2011.05.23	Exploit/Java.CVE-2010-0840
Avast	4.8.1351.0	2011.05.23	Java:Agent-HF
Avast5	5.0.677.0	2011.05.23	Java:Agent-HF
AVG	10.0.0.1190	2011.05.23	-
BitDefender	7.2	2011.05.23	-
CAT-QuickHeal	11.00	2011.05.22	-
ClamAV	0.97.0.0	2011.05.23	-
Commtouch	5.3.2.6	2011.05.23	-
Comodo	8808	2011.05.23	-
DrWeb	5.0.2.03300	2011.05.23	Java.Downloader.293
eSafe	7.0.17.0	2011.05.22	Win32.Trojan
eTrust-Vet	36.1.8342	2011.05.23	-
F-Prot	4.6.2.117	2011.05.23	-
F-Secure	9.0.16440.0	2011.05.23	-
Fortinet	4.2.257.0	2011.05.22	-
GData	22	2011.05.23	Java:Agent-HF
Ikarus	T3.1.1.104.0	2011.05.23	Exploit.Java.CVE-2010-0840
Jiangmin	13.0.900	2011.05.23	-
K7AntiVirus	9.103.4707	2011.05.23	-
Kaspersky	9.0.0.837	2011.05.23	Exploit.Java.CVE-2010-0840.t
McAfee	5.400.0.1158	2011.05.23	-
McAfee-GW-Edition	2010.1D	2011.05.23	-
Microsoft	1.6903	2011.05.23	-
NOD32	6145	2011.05.23	Java/TrojanDownloader.OpenStream.NBW
Norman	6.07.07	2011.05.23	JAVA/Dloader.BJ
nProtect	2011-05-23.01	2011.05.23	-
Panda	10.0.3.5	2011.05.23	Exploit/CVE-2010-0840
PCTools	7.0.3.5	2011.05.19	Trojan.Gen
Prevx	3.0	2011.05.23	-
Rising	23.59.00.03	2011.05.23	-
Sophos	4.65.0	2011.05.23	Mal/JavaDldr-B
SUPERAntiSpyware	4.40.0.1006	2011.05.23	-
Symantec	20111.1.0.186	2011.05.23	Trojan.Gen.2
TheHacker	6.7.0.1.203	2011.05.23	-
TrendMicro	9.200.0.1012	2011.05.23	JAVA_AGENT.MKO
TrendMicro-HouseCall	9.200.0.1012	2011.05.23	JAVA_AGENT.MKO
VBA32	3.12.16.0	2011.05.23	-
VIPRE	9366	2011.05.23	-
ViRobot	2011.5.23.4473	2011.05.23	-
VirusBuster	13.6.368.0	2011.05.23	-
Additional information
Show all
MD5   : efe2e43fac177d19fa25c7023d21ecae
SHA1  : bf4d5f01c216ce6b3c520690b01660c662869fdd
SHA256: 2ea85bdd557b1fc1ed6ee46d9b5b9d520f65b8fb5540ca982d1f4aa3cb349cf7

Man sieht also wie schnell es einen treffen kann wenn die Internet Plugins (Java, PDF, Flash, ...) nicht aktuell sind. Da hilft es nicht mal, dass der Virenscanner aktuell ist, wenn es ein relativ neuer (oder sogar 0-day) Exploit ist.
Tipp für Windows: EMET verhindert die Ausnutzung von Lücken, die durch Bufferüberläufe etc entstehen.

EDIT2:
@Mai_Ke: wenn du kein oder ein aktuelles Java draufhast passiert gar nix

EDIT3:
zusätzlich versucht die Seite auch noch über eine Lücke im Adobe Reader das System zu infizieren (der kleine PDF-iFrame ganz unten)

File name:
manual.pdf
Submission date:
2011-05-23 16:20:00 (UTC)
Current status:
queued (#55) queued (#55) analysing finished
Result:
18/ 42 (42.9%)
	
VT Community

not reviewed
 Safety score: - 
Compact
Print results
Antivirus 	Version 	Last Update 	Result
AhnLab-V3	2011.05.23.01	2011.05.23	PDF/Pdfka
AntiVir	7.11.8.102	2011.05.23	-
Antiy-AVL	2.0.3.7	2011.05.23	-
Avast	4.8.1351.0	2011.05.23	JS:Pdfka-gen
Avast5	5.0.677.0	2011.05.23	JS:Pdfka-gen
AVG	10.0.0.1190	2011.05.23	Exploit.PDF-JS
BitDefender	7.2	2011.05.23	Exploit.PDF-JS.Gen
CAT-QuickHeal	11.00	2011.05.22	-
ClamAV	0.97.0.0	2011.05.23	PUA.PDF.EmbeddedPDF
Commtouch	5.3.2.6	2011.05.23	-
Comodo	8808	2011.05.23	-
DrWeb	5.0.2.03300	2011.05.23	Exploit.PDF.2112
Emsisoft	5.1.0.5	2011.05.23	-
eSafe	7.0.17.0	2011.05.22	PDF.Exploit.2
eTrust-Vet	36.1.8342	2011.05.23	-
F-Prot	4.6.2.117	2011.05.23	-
F-Secure	9.0.16440.0	2011.05.23	Exploit.PDF-JS.Gen
Fortinet	4.2.257.0	2011.05.22	-
GData	22	2011.05.23	Exploit.PDF-JS.Gen
Ikarus	T3.1.1.104.0	2011.05.23	-
Jiangmin	13.0.900	2011.05.23	-
K7AntiVirus	9.103.4707	2011.05.23	-
Kaspersky	9.0.0.837	2011.05.23	Exploit.JS.Pdfka.dqy
McAfee	5.400.0.1158	2011.05.23	Exploit-PDF.qa.gen
McAfee-GW-Edition	2010.1D	2011.05.23	Exploit-PDF.qa.gen
Microsoft	1.6903	2011.05.23	Exploit:Win32/Pdfjsc.PE
NOD32	6145	2011.05.23	JS/Exploit.Pdfka.OSQ
Norman	6.07.07	2011.05.23	-
nProtect	2011-05-23.01	2011.05.23	Exploit.PDF-JS.Gen
Panda	10.0.3.5	2011.05.23	-
PCTools	7.0.3.5	2011.05.19	-
Prevx	3.0	2011.05.23	-
Rising	23.59.00.03	2011.05.23	-
Sophos	4.65.0	2011.05.23	Troj/PDFJs-RL
SUPERAntiSpyware	4.40.0.1006	2011.05.23	-
TheHacker	6.7.0.1.203	2011.05.23	-
TrendMicro	9.200.0.1012	2011.05.23	-
TrendMicro-HouseCall	9.200.0.1012	2011.05.23	-
VBA32	3.12.16.0	2011.05.23	-
VIPRE	9366	2011.05.23	Exploit.PDF-JS.Gen (v)
ViRobot	2011.5.23.4473	2011.05.23	-
VirusBuster	13.6.368.0	2011.05.23	-
Additional information
Show all
MD5   : 29658ff775f5a0671f97f3c1a4251496
SHA1  : a3b25064c55adbb560d076eacd88bb4cb095d275
SHA256: cceaecd86c6d19f57ce016c801d1d9106c4e28f27cfefe37abbbeabfd8b1712e

 

[LosDosos]

Es handelt sich um einen Java-Exploit, der eine Lücke in JRE 1.6.23 auszunützen versucht. Also wieder mal der Fall mit nicht aktueller Software.

Vielen Dank.
(Der blöde Danke-Button geht schon wieder nicht..)

Du redest bei JRE 1.6.23 von Windows, oder?
Ich denke, sie weiss nichtmal was Java ist, geschweige denn wüsste sie, wie sie es zu aktualisieren hätte.

Aber diese Lücke wird ja auch unter OS X ausgenutzt, nur installiert er sich nicht eigenständig?

wenn Du mir den Link auch schickst, kann ich testen, was unter Win7, Security Essentials und eingeschränkten Nutzerrechten passiert

Du wirst ihn mit der Kaspersky Notfall-Cd und im abgesicherten Modus wieder wegkriegen können..

 

[Dalgliesh]

1. Selbst 5,4% sind deutlich mehr als 1%, warum hat man bei 1% Viren, Würmer und Trojaner programmiert und bei 5% nicht mehr (nur Trojaner)?

Erstens: Weil bei heutigen Systemen generell mehr Know-How erforderlich ist , um ein Schadprogramm zu entwickeln. Wenn ich nun eine Rechnung aufmache, ob ich mit einem OS-X- oder einem Windows-Schadprogramm mehr Gewinn mache, wird herauskommen, daß ich ein Windows-Schadprogramm schreiben sollte.

Zu Zeiten von OS 9 wurden die meisten Schadprogramme nicht aus ökonomischen Gründen geschrieben, sondern aus "ideellen". Oder wie hätte bei denen das Geschäftsmodell aussehen sollen?

Zweitens: Heutige Schadprogramme verteilen sich übers Netz. Wenn ich mich selbständig übers Netz verteilen will (wenn ich also ein Virus oder ein Wurm bin), bin ich darauf angewiesen, mit hoher Wahrscheinlichkeit in meiner Umgebung Systeme zu finden, die ich infizieren kann. Bin ich nur auf 5% der Systeme lauffähig, habe ich Schwierigkeiten, mich zu verbreiten, weil mindestens 95% der Versuche ins Leere gehen.

Wie hat sich ein Virus vor 15 Jahren verteilt hat? Hauptsächlich durch Raubkopien und durch Dateiaustausch über Diskette. Da die Dateiformate kaum kompatibel waren, landete die Diskette eines Mac-Besitzers wahrscheinlich früher oder später im Laufwerk eines anderen Mac, und nicht eines PC. Diesen Verbreitungsweg gibt es für Viren heute nicht mehr. Was über Torrent angeboten wird, enthält stattdessen irgendwelche Trojaner, aber die zählen bei Dir ja nicht.

Langer Rede kurzer Sinn: Zwischen der Zeit von OS 9 und heute haben sich soviele Parameter geändert, daß Du nicht nur einen einzigen (OS 9 vs. OS X) dafür hernehmen kannst, um einen Unterschied zwischen damals und heute zu begründen.

 

[Mai_Ke]

Du wirst ihn mit der Kaspersky Notfall-Cd und im abgesicherten Modus wieder wegkriegen können..

Nicht nötig

Der Link, den Du geschickt hat, versucht aus der Google-Bildersuche eine Weiterleitung auf eine .com Domain (NoScript fragt nach, ob ich das wirklich will ==> ja). Anschließend meckert NoScript schon wieder, dass diesmal zwei .cz.cc Domains Code ausführen wollen (natürlich will ich das auch noch). Nun wird automatisch ein PDF geladen, in dem SecurityEssentials einen Trojaner erkennt, den Zugriff blockt und das Löschen empfiehlt.

Also noch alles im grünen Bereich

Ach ja: Java 1.6.24 war installiert

 

[andi42]

Vielen Dank.
(Der blöde Danke-Button geht schon wieder nicht..)

Du redest bei JRE 1.6.23 von Windows, oder?
Ich denke, sie weiss nichtmal was Java ist, geschweige denn wüsste sie, wie sie es zu aktualisieren hätte.

Aber diese Lücke wird ja auch unter OS X ausgenutzt, nur installiert er sich nicht eigenständig?

Bitteschön
Ja dieser Exploit zielt auf Windows-Java (1.)6.23. Aktualisieren kannst du dies über die Systemsteuerung -> Java -> Aktualisierung.
Für OS X ist so wies ausschaut halt kein Payload dabei, aber prinzipiell ist die Lücke auch dort ausnutzbar. Bei Mac OS ist Java mitinstalliert und wird über die Softwareaktualisierung automatisch aktualisiert - dies soll sich angeblich ab 10.7 ändern, dann wird man Java eigens von Oracle laden müssen.
In den Dienstprogrammen findest du ein Tool zum Prüfen von Java-Version und -Einstellungen.

 

[vib]

Kannst Du deine Einschätzung auch begründen?

Es war, wie ich schrieb, eine reine Schaetzung, die meinen subjektiven Eindruck Deines Standpunktes anhand der gefuehrten Dialoge wiederspiegelt.

Meine Einstellung ist begründet, Mac OS X konnte in den letzten 10 Jahren nur durch das Fehlverhalten des Benutzers selbst kompromittiert werden.

Ich sehe das ganze so: Ein Mensch kann sein Leben lang immer sehr umsichtig, gesund und sportlich gelebt haben, aber dennoch mit 35 schwer erkranken und kurzfristig daran sterben, einfach nur weil niemand zuvor nach den Symptomen seiner Erkrankung gesucht hatte, obwohl (im Nachinein ist man leider immer schlauer) es dafuer Anzeichen gab. Im spaeteren Verlauf hat sich herausgestellt, dass man seinen Streukrebs durchaus haette behandeln koennen, wenn die Aerzte wachsamer gewesen waere. Aber es hat einfach keiner bei Ihm damit gerechnet, auch wegen seiner umsichtigen Lebensweise.

Lange erlebte Geschichte kurzer Sinn. Wer rechtzeitig auf Anzeichen bekannter Befallsmuster achtet, diese regelmaessig untersucht, hat am Ende bessere Chancen. Und gerade bei sich verbreitenden Schaedlingen sollte es sebstverstaendlich sein eine Verbreitung zu unterbinden. Ein zerschossener Rechner ist zwar zu ersetzen, aber wenn eine verbreitete Schadsoftware persoenliche Informationen wie Kreditkartendaten ausliest und an Dritte weitergibt, kann es im Ernstfall auch erheblichen Schaden fuer die Betroffenen verursachen. Evtl findest Du ja meine Begruendung unpassend, aber sie ist ein Schluessel zu meiner Herangehensweise.

Nur jedes Mal wenn alle 6 Monate ein neuer Trojaner auftaucht, tuen manche so, als sei das was ganz neues und entflammen die Diskussion aufs Neue.

Daher empfehle ich einfach dem Rat von Apple folge zu leisten und sich prophylaktisch eine AV-Loesung(in meinem Sprachgebrauch Maleware-Scanner) zu installieren. Damit wuerde nicht zuletzt auch diesen Diskussionen viel Nahrung genommen werden. Ebenso wie Du empfehle ich in diesem Falle auch ClamXav, alleine schon weil ich auf Linux-Mailservern schon ein paar Jahre gute Erfahrung mit einem Pendant clamav mache

Aber man hüte sich davor, gleich mehrere AV-Scanner auf das selbe System zu installieren.

Dem schliesse ich mich an.

 

[LosDosos]

Der Link, den Du geschickt hat, versucht aus der Google-Bildersuche eine Weiterleitung auf eine .com Domain (NoScript fragt nach, ob ich das wirklich will ==> ja). Anschließend meckert NoScript schon wieder, dass diesmal zwei .cz.cc Domains Code ausführen wollen (natürlich will ich das auch noch). Nun wird automatisch ein PDF geladen, in dem SecurityEssentials einen Trojaner erkennt, den Zugriff blockt und das Löschen empfiehlt.

Interessant..
Ich wusste auch gar nicht, dass Trojaner sogar schon in pdfs stecken können..
UAC macht ja unter Windows 7 nicht umsonst Sinn.
Ich weiss gar nicht, ob es das schon unter Vista gab bzw ob sie es aktiviert hatte, zumindest glaube ich nicht daran, dass sie das Know-How hat, um es zu deaktivieren.

Für OS X ist so wies ausschaut halt kein Payload dabei, aber prinzipiell ist die Lücke auch dort ausnutzbar. Bei Mac OS ist Java mitinstalliert und wird über die Softwareaktualisierung automatisch aktualisiert - dies soll sich angeblich ab 10.7 ändern, dann wird man Java eigens von Oracle laden müssen.
In den Dienstprogrammen findest du ein Tool zum Prüfen von Java-Version und -Einstellungen.

Mein Java ist auch immer aktuell, runtergeladen wurde der Trojaner unter OS X trotzdem automatisch, bei Dir sicher auch, oder?

 

[Mai_Ke]

Ich wusste auch gar nicht, dass Trojaner sogar schon in pdfs stecken können..

http://www.heise.de/security/meldung/27C3-Brandgefaehrliche-PDF-Dokumente-Update-1162122.html

 

[andi42]

Interessant..
Ich wusste auch gar nicht, dass Trojaner sogar schon in pdfs stecken können..

Es handelt sich um einen Exploit, also das Ausnützen einer Schwachstelle in PDF anzeigenden Programmen. Insbesondere der Adobe Reader ist da immer wieder im Schussfeld. Als Payload (also die eigentliche Malware die durch den Exploit geladen wird) kann alles mögliche dienen, Trojaner, Viren, Würmer, ...

Mein Java ist auch immer aktuell, runtergeladen wurde der Trojaner unter OS X trotzdem automatisch, bei Dir sicher auch, oder?

Welchen Browser verwendest du? Safari lädt in der Standardeinstellung Dateien, von denen er glaubt sie seien "sicher" automatisch herunter und öffnet sie zum Teil sogar! Am sichersten bist du momentan mit Firefox und der Erweiterung "NoScript", die Scripte von Websites generell unterbindet und nach Nachfrage zulässt.
Ich hab diese Seite unter OS X noch nicht getestet, hab hier grad keinen Mac stehen.

 

[LosDosos]

http://www.heise.de/security/meldung/27C3-Brandgefaehrliche-PDF-Dokumente-Update-1162122.html

Nice, danke.

Und weil die neue Forumssoftware ja nicht mehr als 10 Danke pro Tag zulässt und den Button dann versteckt, kann ich mich halt nur mit diesem ansonsten überflüssigen Beitrag bedanken..

 

[LosDosos]

Es handelt sich um einen Exploit, also das Ausnützen einer Schwachstelle in PDF anzeigenden Programmen. Insbesondere der Adobe Reader ist da immer wieder im Schussfeld. Als Payload (also die eigentliche Malware die durch den Exploit geladen wird) kann alles mögliche dienen, Trojaner, Viren, Würmer, ...

Vielen Dank.

Ich benutze Camino 2.0.7 (aktuellste Version), OS X ist ebenso immer auf dem neusten Stand.
Als pdf-Plugin das "PDF Browser Plugin", da sonst unter Camino Pdfs nicht angezeigt sondern direkt heruntergeladen werden.

 

[ProUser]

Erstens: Weil bei heutigen Systemen generell mehr Know-How erforderlich ist , um ein Schadprogramm zu entwickeln. Wenn ich nun eine Rechnung aufmache, ob ich mit einem OS-X- oder einem Windows-Schadprogramm mehr Gewinn mache, wird herauskommen, daß ich ein Windows-Schadprogramm schreiben sollte.

Zweitens: Heutige Schadprogramme verteilen sich übers Netz. Wenn ich mich selbständig übers Netz verteilen will (wenn ich also ein Virus oder ein Wurm bin), bin ich darauf angewiesen, mit hoher Wahrscheinlichkeit in meiner Umgebung Systeme zu finden, die ich infizieren kann. Bin ich nur auf 5% der Systeme lauffähig, habe ich Schwierigkeiten, mich zu verbreiten, weil mindestens 95% der Versuche ins Leere gehen.

Nach dieser Logik müsste nur das Verhältnis entsprechend sein, also für Windows mehr Viren und Würmer und für OS X entsprechend weniger, es sind aber gar keine da.. Warum gibt es denn Linux-Viren? Linux ist weniger verbreitet als OS X..

Wie hat sich ein Virus vor 15 Jahren verteilt hat? Hauptsächlich durch Raubkopien und durch Dateiaustausch über Diskette. Da die Dateiformate kaum kompatibel waren, landete die Diskette eines Mac-Besitzers wahrscheinlich früher oder später im Laufwerk eines anderen Mac, und nicht eines PC. Diesen Verbreitungsweg gibt es für Viren heute nicht mehr. Was über Torrent angeboten wird, enthält stattdessen irgendwelche Trojaner, aber die zählen bei Dir ja nicht.

Früher waren es Disketten, heute sind es halt Daten-CDs/DVDs, USB-Sticks, extr. Festplatten, Speicherkarten die ebenso von Mac zu Mac getragen werden, die Datenmengen sind auch wesentlich größer, also eigentlich noch bessere Bedingungen als damals. Und wenn es sich lohnt Trojaner über Torrent-Netze zu verbreiten, warum dann nicht auch Viren? Ist doch irgendwie unlogisch..

Langer Rede kurzer Sinn: Zwischen der Zeit von OS 9 und heute haben sich soviele Parameter geändert, daß Du nicht nur einen einzigen (OS 9 vs. OS X) dafür hernehmen kannst, um einen Unterschied zwischen damals und heute zu begründen.

Was ist denn mit dem Unterschied zwischen damals und damals, als OS X 2001 rauskam, warum kamen damals nicht auch Viren oder Würmer, oder 2002, 2003, 2004 etc. auch nicht, bis heute nicht, warum?

EDIT: Jeder Schädlingsentwickler würde "Ruhm und Ehre" in entsprechenden Kreisen ernten, wenn er mit dem ersten Virus oder Wurm es schafft die seit nun einem Jahrzehnt unbehelligte Mac-Welt zu erschüttern..

 

[vib]

Nach dieser Logik müsste nur das Verhältnis entsprechend sein, also für Windows mehr Viren und Würmer und für OS X entsprechend weniger, es sind aber gar keine da.. Warum gibt es denn Linux-Viren? Linux ist weniger verbreitet als OS X..

Nach meiner Erfahrung wird damit in der Linux-Welt aber wesentlich offensiver umgegangen, was auch die sehr schnellen Reaktionszeiten zum Schliessen einer Sicherheitsluecke zur Folge hat. Nicht umsonst wird Linux gerade in sicherheitsrelevanten Bereichen sehr oft eingesetzt. Ich wuerde es sehr begruessen, wenn Apple so manch bekannte Luecke nicht erst auf die lange Bank schieben wuerde. Die Benutzer wiegen sich schliesslich in Sicherheit.