Achtung: Trojaner im MP3 Tag!

[mactomtom]

Jetzt gibt es ihn wohl doch: den ersten Trojaner für MacOSX. Das behauptet jedenfalls das Softwarehouse Intego. Der Trojaner versteckt sich in den ID-Tags von MP3 Dateien und wird durch Doppelklick aktiviert. Er ist wohl in der Lage, sich dann selbstständig zu verbreiten, weitere MP3-Dateien zu infizieren und die persönlichen Daten zu gefährden.
Siehe genauer hier: http://www.intego.com/news/pr40.html

 

[beo]

Wie immer hilft auch hier "Augen auf!".
Wer mp3 aus dem Netz saugt, sollte sie nicht blind doppelklicken, sondern erst im Finder anschauen:
Wenn die Vorschau aktiviert ist, erscheint bei einer infizierten mp3-Datei nicht wie gewohnt die Quicktime-Abspielleiste, sondern nur das iTunes-Icon. Unter "Art" steht dann auch explizit "Programm". Wer dann noch doppelt klickt, ist selber schuld.
Wer die Vorschau nicht aktiviert hat, sollte sich in Zukunft bei geladenen mp3-Dateien "Apfel-I" zur Gewohnheit machen...

Gruss,
beo

 

[diffuser]

klingt ja schon recht übel.

oder hat da intego einem virus geschaffen um seine software zu verticken? ... wer weiß, wer weiß?

 

[abgemeldeter Benutzer]

Immer locker bleiben

Immer locker bleiben und keinem Antivirenhersteller trauen

 

[RETRAX]

Bzgl. dieses Themas sind die Kommentare auf

 

[Carsten1973]

Ein Geheimprojekt der Musikindustrie!

Hallo, guten Morgen und frohe Ostern!

Dieser Virus ist eigentlich ein Geheimprojekt der Musikindustrie. Er wird in seinem "Schadensteil" nicht deine Festplatte löschen sondern diese nach Verzeichnissen von Tauschprogrammen durchsuchen. Sind dort mp3 Dateien, die dort nicht sein sollten, mailt er diese Information an eine spezielle GEMA/Microsoft Taskforce zur Rettung der kommerziellen Musik...

Diese Maßname wurde nötig, als man feststellte, dass nur sehr wenige Nutzer eines Apple Mac sich Microsofts Media Player installieren, und man daher die lückenlose Überwachung der Tauschwilligen Musikfans gefährdet sah.

Mit den besten Wünschen fürs Fest

Carsten

 

[RETRAX]

Re: Immer locker bleiben

Original geschrieben von bömpfmactobi
Immer locker bleiben und keinem Antivirenhersteller trauen

Guter Link! Deshalb hier der Text:

Die Warnung vor dem »Trojaner« MP3Concept oder MP3.virus [wir berichteten gestern abend] schlägt Wellen in Macland - kein Wunder: es wäre der erste auf dem Mac. Bei aller Vorsicht - es gibt bisher keine offizielle Stellungnahme von Apple - stellt sich die Situation anhand der Diskussionen in diversen Foren wahrscheinlich so dar:

in der Newsgroup comp.sys.mac.programmer.misc, die sich u.a. damit befasst, das Mac OS sicherer zu machen, diskutiert man Ende März die Möglichkeit, daß MP3-Dateien mit Viren infiziert werden könnten. Bo Lindbergh, u.a. Autor eines Audio-CD-Wandlers, baut ein harmloses Proof of Concept, das zeigt, daß tatsächlich ein Schädlingscode in der ID3-Information versteckt werden kann. Dieses Programm [virus.mp3] - getarnt als Musikdatei - ruft iTunes auf, spielt die Datei ab, öffnet einen Warnhinweis und beendet sich.

virus.mp3 ist also kein Virus - theoretisch könnten Viren allerdings nach diesem Muster gebaut werden. iTunes 2 unter OS 9 und iTunes 4 unter OS X ignorieren offenbar den Filetyp - in diesem Fall »Programm«, obwohl die Datei eine .mp3-Endung hat -, finden einen ID3-Tag und MPEG-Daten und verarbeiten das Programm. Hier steckt offenbar ein Bug: eine Diskrepanz zwischen Dateityp und Dateiendung, die allerdings nur bei Carbon-Dateien für OS 9 und OS X möglich ist. Wenn man virus.mp3 in der Spaltenansicht des Finders betrachtet, sieht man, daß die angebliche Musikdatei tatsächlich ein Programm ist.

Offenbar hat die französische Firma Intego Wind von diesem Trick bekommen und ihn für den Verkauf ihrer Sicherheitsprodukte ausgenutzt. Darauf deuten auch einige Ungereimtheiten in Integos Pressemitteilung hin: so wird behauptet, der Virus könnte JPEG- und GIF-Dateien infizieren, die aber keinen ID3-Tag haben, in dem der Virus sich verstecken könnte.

Fazit: es existiert also offenbar kein Virus (oder Trojaner, wie Intego ihn nennt), gegen den man sich akut schützen muß. Es könnte nach diesem Muster ein Virus gebaut werden - es gäbe dazu allerdings effektivere Wege. Vorsichtig sollte man allerdings schon sein, solange diese Sache so unklar ist.

Apple wird hoffentlich schnell eine Erklärung herausgeben: schon um die zweifellos hereinbrechende Flut von Artikeln aufzuhalten, die OS X nun auf dieselbe Stufe der Unsicherheit wie Windows stellen...

 

[geveci]

file vault

könnte das virus meine dateien ansehen auch wenn ich file vault an habe??

 

[Carsten1973]

Re: file vault

Original geschrieben von geveci
könnte das virus meine dateien ansehen auch wenn ich file vault an habe??

Oh, sorry. Sollte nur ein kleiner Scherz sein, als Antwort auf den Hoax von Intego (Siehe Beitrag zitiert von RETRAX). Niemand braucht sich im Moment vor Spionage durch mp3 Dateien zu fürchten.

Carsten

 

[BEASTIEPENDENT]

Re: file vault

Original geschrieben von geveci
könnte das virus meine dateien ansehen auch wenn ich file vault an habe??

nein - carstens beitrag war eine satire

 

[A&e]

Wenn ich der GF von INTEGO wäre, würde ich auch solche Meldungen rauslassen. In der Hoffnung, dass ich nun endlich meine Produkte an schweißgebadete und panische Mac-User verkaufen kann und ganz ganz reich werde!

 

[abgemeldeter Benutzer]

Ich sehe in der Erklärung, die RETRAX gepostet hat ein paar Wiedersprüche. Wenn die Datei ein Programm ist (Typ APPL), dann wird sie nicht in iTunes geöffnet, .mp3-Suffix hin oder her. Statt dessen wird sie ausgeführt. Das ist aber nur möglich, wenn sie auch tatsächlich den Strukturen (Header, etc.) eines Mac-Programmes folgt. Wenn sie die Struktur einer MP3-Datei hat passiert ganz einfach gar nichts, egal, was für Code in den ID-Tags steckt.

Das könnt Ihr ganz einfach selber ausprobieren, indem Ihr einer MP3-Datei den Type APPL zuteilt (mit den entsprechenden Tools). In der Info steht dann Programm oder Classic-Programm, bei einem Doppleklick passiert nichts (selbst, wenn die Datei in der Shell ausfürhbar gesetzt ist) bzw. wird Classic geöffnet und es kommt eine Fehlermeldung, dass xxx.mp3 (Programm) nicht geöffnet werden kann....

 

[beo]

Ahoi ._ut,
das siehst Du leider falsch.
Ich zitiere noses aus de.comp.sys.mac.misc:

Ein Wurm ist nur so gut wie sein Versteck. Ein derartig transportierter Wurm
wird also nur dann sinnvoll Verbreitung finden, wenn er die Datei auch
"funktionieren" läßt, so daß niemand auf die Idee kommt, sich den Wirt näher
anzusehen. Das MP3-"Programm" geht also als erstes hin und befiehlt
iTunes.app, die Datei zu öffnen. iTunes wird das auch ohne Warnung tun,
alles, was es sieht, ist ein gültiges ID3-Tag, dem ein Audio-Datenstrom
folgt. Keiner merkt was und der Wurm sucht sich ein gemütliches StartupItem.

Und wieder ist ein Spam-Relay geboren.

Gruss,
beo

 

[Flooo]

Hi,

Wie merke ich denn ob ich so einen Virus auf dem Mac habe ?

viele Grüße,

Flo

 

[beo]

Wie merke ich denn ob ich so einen Virus auf dem Mac habe ?

Momentan nur, indem Du Dir im Finder jede mp3-Datei anschaust und guckst, ob unter "Art:" "Programm" steht.

Prophylaktisch sollte man im Moment darauf verzichten, in SIT verpackte mp3 zu saugen, denn nur so überlebt der zur Schädigung benötigte Resource Fork.

Gruss,
Beo

 

[RETRAX]

Ich hab' mir das jetzt etwas angesehen. Die als Beispiel kursierende Datei "virus.mp3" ist ein Carbon-Programm, was im Resource-Zweig durch den Type "APPL" markiert ist. Dadurch, das ".mp3" hinten 'dran hängt, vergibt der Finder das iTunes-Icon (bzw. as Creator ist "vMP3" eingetragen). Wenn man die Datei doppelklickt, dann erkennt sie der Finder doch als Application, startet sie, und sie schickt dann per AppleEvent an iTunes den open-Befehl. Der Programm-Code erscheint iTumes als mp3-Tag und spielt somit den nachfolgenden mp3-Code (ein Gelächter) ab. [Das kann man testen indem man iTunes löscht: es erscheint trotzdem der Dialog, aber iTunes wird nun gesucht. Es stimmt NICHT, dass iTunes den Code aus einem mp3-tag ausführt, auch wenn das bei Intego so steht. D.h. dass mit einem Update auf iTunes 5/6/6 sich daran nichts ändert.]

Damit kann man das schon als trojanisches Pferd bezeichnen, und der Trick ist derselbe wie der double-extension Trick für W$ndow$.

Dennoch ist keine Gefahr gegeben, sich aus Tauschbörsen so ein Programm einzuhandeln (wie schon von etlichen erwähnt): Jedes Carbon-Programm benötigt den Resource-Zweig um zu laufen, und bei allen Tauschbörsenprogrammen wird nur der Daten-Zweig übertragen. Auch von W$ndow$-Rechnern aus kann man nicht infiziert werden, weil dort immer der Resource-Zweig verloren geht.

Auch ich denke, dass das Problem mit einem Finder-Update behoben werden könnte: Das eigentliche Problem ist das iTunes-Icon. Wenn der Finder die Icon-Vergabe genauer prüfte, dann würde das als Programm erkennbar. Hmm, eigentlich doch nicht: das Programm könnte sich ja selber ein ähnliches Icon vergeben... Grundsätzlich ist es jedenfalls nichts Neues, dass der Start eines Programmes den Rechner "verändern" kann, neu ist dass man denkt dass es kein Programm ist...

Abhilfe (was ich sowieso mache): der normale Arbeits-Account sollte keine admin-Rechte haben. Wer's machen möchte und sich fragt wie: einen neuen Account einrichten, dem ein gutes Passwort geben, in den einloggen (aus dem "normalen" vorher raus), und dort dem normalen Account die admin-Rechte entziehen. Jedes bösartige Programm, das man dann unter dem normalen Account startet, kann wenigstens nicht den ganzen Rechner töten.

 

[Rosebud]

Warung: Ein ganz ein neuer Virus

Es gibt da auch noch einen ganz neuen Virus.

Der brennt seinen Code auf die Innenseite
von CRT Monitoren unsichtbar
in die Phosphorschicht.
Beim Hochfahren liest sich dieser Virus in den
Hauptspeicher durch die Lightpen Lese routine wieder ein.

Abhilfe schaft nur die Anschaffung eines TFT Display.
Habe ich zumindest so von einem TFT Display Hersteller gehört.

Diese Warnmeldung bitte an mindestens 10 Bekannte mailen,
die dann wieder usw.
Ach ja: Jeder soll mir 10€ überweisen.

PS: Wer was findet, was im auffällt darfs behalten.

 

[Myuu]

Re: Warung: Ein ganz ein neuer Virus

Original geschrieben von Rosebud
Es gibt da auch noch einen ganz neuen Virus.

Der brennt seinen Code auf die Innenseite
von CRT Monitoren unsichtbar
in die Phosphorschicht.
Beim Hochfahren liest sich dieser Virus in den
Hauptspeicher durch die Lightpen Lese routine wieder ein.

Abhilfe schaft nur die Anschaffung eines TFT Display.
Habe ich zumindest so von einem TFT Display Hersteller gehört.

Diese Warnmeldung bitte an mindestens 10 Bekannte mailen,
die dann wieder usw.
Ach ja: Jeder soll mir 10€ überweisen.

PS: Wer was findet, was im auffällt darfs behalten.

lol

 

[TerminalX]

schaut euch das einfach mal an:
http://www.industrial-technology-and-witchcraft.de/index.php?id=P5362

dieser "Trojaner" ist keine Gefahr. Es ist nur um zu beweisen das sowas möglich ist.
Kann sein das das schon jemand geschrieben hat, ich hab jetzt nichtt alles gelesen.

Gruß,
Dayzd

 

[abgemeldeter Benutzer]

@ RETRAX

Die Datei "virus.mp3" habe ich mir angesehen. Das ist ein ganz normales Carbon-Programm.
Das Icon wird nicht von Finder vergeben, sondern findet sich als Resource in dem Programm (wenn keine Icon-Resourcen angelegt wären, würde es auch das allgemeine Programm-Icon bekommen und kein iTunes-Icon).
Ansonsten enthält das Programm einen Dialog und einen Sound. Es öffnet den Dialog und schickt ein Apple-Event und den Sound an iTunes. Das Programm macht also nichts ungewöhnliches.
Es macht das gleiche, wie wenn z.B. im Internet-Browser auf einen mailto-Link geklickt wird: Der Klick in Safari öffnet Mail, dort wird eine neue Nachricht angelegt und die Adresse in die Adress-Feld eingetragen. Ganz gewöhnliche Inter Application Communication.

Das Ganze hat überhaupt nichts mit Trojanern oder irgendwelchem Code in ID-Tags zu tun.

Das Programme beliebige Dokumeten-Icons haben können und auch Suffixe im Namen, ist nichts ungewöhnliches und schon immer so möglich.

Natürlcih sollte man aufpassen, wenn man eine MP3-Datei als sit-Archiv oder DMG geschickt bekommt. Das ist entweder Dummheit des Versenders, als Stuffit gepackte MP3 sind nämlich größer, als ungepackte oder irgendwas ist faul.


P.S. Übrigens befindet sich der Type nicht in den Resourcen, sondern im Dateisystem (HFS und HFS+), andere Dateisysteme kennen diese Metadaten nicht. Und geht ohne entsprechdene Codierung bei flachen Dateiystemen verloren. Ebenso, wie die Resourcen.

P.P.S

Abhilfe (was ich sowieso mache): der normale Arbeits-Account sollte keine admin-Rechte haben. Wer's machen möchte und sich fragt wie: einen neuen Account einrichten, dem ein gutes Passwort geben, in den einloggen (aus dem "normalen" vorher raus), und dort dem normalen Account die admin-Rechte entziehen. Jedes bösartige Programm, das man dann unter dem normalen Account startet, kann wenigstens nicht den ganzen Rechner töten

Auch aus dem Admin-Account wwerden Programme mit normalern Benutzer-Rechten gestartet. Damit ein Programm etwas am System kaputt machen kann, muss es mit root-Rechten gestartetwerden. Das ist aus jedem Account, ob admin oder normal, heraus möglich durch Eingabe eines Admin-Passwortes und erst nach der Eingabe des Passwortes (die gleiche Funktion, wie sudo in der Shell).