MacMark
Aktives Mitglied
Thread Starter
- Dabei seit
- 27.02.2005
- Beiträge
- 540
- Reaktionspunkte
- 67
Der Thread war plötzlich verschwunden. Ich weiß den Namen des Themenstarters nicht mehr, sonst würde ich ihm eine Nachricht direkt senden, daher also per Beitrag:
Dein Trojaner ist tatsächlich eine neue Version des DNS-Changers, der unter den Namen "DNSChanger Trojan", "OSX.RSPlug.A" und "OSX/Puper for OS X" bekannt ist.
Das Neue an dieser Version ist, daß die Shell-Skripte verschlüsselt sind und bei der Ausführung decodiert werden. Es ist allerdings einfach zu entschlüsseln, da die Skripte das in ihren ersten zwei Zeilen auch selbst mit dem Rest tun. Ich habe sie heute Morgen entschlüsselt und mit dem originalen Trojaner von Ende 2007 verglichen. Sie sind bis auf die Verschlüsselung nahezu identisch.
Der Trojaner fügt zwei ukrainische DNS-Server in die Liste der DNS-Server des Systems hinzu. Damit können die netten Jungs, die den Server betreiben, Dich dann nach sonst-wohin schicken, wenn Du beispielsweise ebay.de im Browser eingibst. Bei Leopard sieht man die DNS-Einträge unter Network > advanced > DNS, falls der Trojaner seinen Job geschafft hat. Die Host-IPs sind in den Skripten auch verschüsselt gewesen: Sie lauteten diesmal 85.255.113.115 und 85.255.112.19.
Mit whois <ip> kann man sich anzeigen lassen, wer sagen will, wo es langgeht
Mit host <eine url> <ip> kann man schauen, wohin man geschickt würde für url von dem DNS auf ip. Mein Test ergab, daß sie ebay.com korrekt handhaben, aber das kann sich jederzeit ändern.
Der Trojaner installiert außerdem einen cronjob, der regelmäßig dafür sorgt, daß die DNS drinstehen. Ob der crontab-Eintrag da ist, kann man mit
crontab -l
und sicherheitshalber auch noch
sudo crontab -l
feststellen. Beide sollten leer sein, weil Leopard keine eigenen Cronjobs mehr verwendet. Sollte bei der Ausgabe jedoch "plugins.settings" auftauchen, dann ist der Trojaner-Cronjob vorhanden.
Der Trojaner schickt direkt nach der Installation den Namen vom Betriebssystem und noch ein paar andere ähnliche Daten zu einem Server in die USA (64.28.188.220). Zumindest die Version des Trojaners, die Du gestern verlinkt hattest und die ich mir dann ansah.
Der Trojaner legt es also wohl darauf an, User auf gefälschte Seiten zu lenken und dann Paßworte abzugreifen. Er verschickt keine persönlichen Daten und er beschädigt nichts und er ermöglicht auch keinen Fernzugriff.
Dein Trojaner ist tatsächlich eine neue Version des DNS-Changers, der unter den Namen "DNSChanger Trojan", "OSX.RSPlug.A" und "OSX/Puper for OS X" bekannt ist.
Das Neue an dieser Version ist, daß die Shell-Skripte verschlüsselt sind und bei der Ausführung decodiert werden. Es ist allerdings einfach zu entschlüsseln, da die Skripte das in ihren ersten zwei Zeilen auch selbst mit dem Rest tun. Ich habe sie heute Morgen entschlüsselt und mit dem originalen Trojaner von Ende 2007 verglichen. Sie sind bis auf die Verschlüsselung nahezu identisch.
Der Trojaner fügt zwei ukrainische DNS-Server in die Liste der DNS-Server des Systems hinzu. Damit können die netten Jungs, die den Server betreiben, Dich dann nach sonst-wohin schicken, wenn Du beispielsweise ebay.de im Browser eingibst. Bei Leopard sieht man die DNS-Einträge unter Network > advanced > DNS, falls der Trojaner seinen Job geschafft hat. Die Host-IPs sind in den Skripten auch verschüsselt gewesen: Sie lauteten diesmal 85.255.113.115 und 85.255.112.19.
Mit whois <ip> kann man sich anzeigen lassen, wer sagen will, wo es langgeht
Mit host <eine url> <ip> kann man schauen, wohin man geschickt würde für url von dem DNS auf ip. Mein Test ergab, daß sie ebay.com korrekt handhaben, aber das kann sich jederzeit ändern.
Der Trojaner installiert außerdem einen cronjob, der regelmäßig dafür sorgt, daß die DNS drinstehen. Ob der crontab-Eintrag da ist, kann man mit
crontab -l
und sicherheitshalber auch noch
sudo crontab -l
feststellen. Beide sollten leer sein, weil Leopard keine eigenen Cronjobs mehr verwendet. Sollte bei der Ausgabe jedoch "plugins.settings" auftauchen, dann ist der Trojaner-Cronjob vorhanden.
Der Trojaner schickt direkt nach der Installation den Namen vom Betriebssystem und noch ein paar andere ähnliche Daten zu einem Server in die USA (64.28.188.220). Zumindest die Version des Trojaners, die Du gestern verlinkt hattest und die ich mir dann ansah.
Der Trojaner legt es also wohl darauf an, User auf gefälschte Seiten zu lenken und dann Paßworte abzugreifen. Er verschickt keine persönlichen Daten und er beschädigt nichts und er ermöglicht auch keinen Fernzugriff.
Zuletzt bearbeitet: