Flashback Trojaner

[schnupfen]

gibts dazu ein Security-Update?
was soll man machen, ausser die Intego Antiviren Software kaufen ;-)
blog.intego.com/flashback-mac-trojan-horse-infections-increasing-with-new-variant/

 

[maba_de]

Java aktualisieren, denn sonst:

If this is successful, users will be infected with no intervention.

Aus deinem Link.

 

[manue]

This new variant of the Flashback Trojan horse uses three methods to infect Macs. The malware first tries to install itself using one of two Java vulnerabilities. If this is successful, users will be infected with no intervention. If these vulnerabilities are not available – if the Macs have Java up to date – then it attempts a third method of installation, trying to fool users through a social engineering trick. The applet displays a self-signed certificate, claiming to be issued by Apple. Most users won’t understand what this means, and click on Continue to allow the installation to continue.

Java aktuell halten und keine Pop-Fenster anklicken und installieren, von denen man nicht weiß was sie bedeuten...

 

[schnupfen]

und prüfen ob ich schon infiziert bin, kann ich wenn ich in meinem Shared-Folder nach den angegebenen Files suche? oder?

 

[Larsen2k4]

It is worth noting that Flashback.G will not install if VirusBarrier X6 is present, or if a number of other security programs are installed on the Mac in question. It does this to avoid detection. It seems that the malware writers feel it is best to avoid Macs where the malware might be detected, and focus on the many that aren’t protected.

Kauft Leute kauft.

 

[masta k]

hat intego also die nächste trojaner-virus-panikwelle gestartet..

 

[maba_de]

Panikmache? Das sich der Trojaner über eine Java Lücke installieren kann ohne das der Benutzer etwas mitbekommt muss einen doch nicht verunsichern, nein, nicht doch ..... .

 

[manue]

Die Frage ist, wie "alt" die Java Version sein muss, dass das passieren kann.

 

[AgentMax]

Panikmache? Das sich der Trojaner über eine Java Lücke installieren kann ohne das der Benutzer etwas mitbekommt muss einen doch nicht verunsichern, nein, nicht doch ..... .

Natürlich bekommt man das mit. Man muss bestätigen.

 

[maba_de]

nein, muss man nicht. Erst, wenn keine Java Lücke gefunden wird, fordert der Trojaner zur Installation eines Zertifikates auf .

Noch eine Quelle:
http://www.heise.de/security/meldung/Flashback-Malware-setzt-auf-neue-Infektionswege-1442752.html

 

[oneOeight]

warum schaltet ihr nicht einfach java im browser aus (nicht mit javascript verwechseln).
wird doch heute eh kaum noch auf websites genutzt...

 

[JohnnyChicago]

warum schaltet ihr nicht einfach java im browser aus (nicht mit javascript verwechseln).
wird doch heute eh kaum noch auf websites genutzt...

Meine Bank setzt leider auf Java. Doppelt schlecht, weil auch 1Password nicht mehr funktioniert!
Das war nach dem letzten Sicherheitsupdate der Seite, wo auch grossspurig die Sicherheit betont wurde und die einem Tokken aufgeschwatzt haben!

 

[maba_de]

wenn man alle Mac OS X Updates installiert hat betrifft einen das Java Problem ja nicht,
man darf dann halt das "Zertifikat" nicht installieren.

 

[David X]

Die Frage ist, wie "alt" die Java Version sein muss, dass das passieren kann.

Ich vermute sehr stark, dass der Trojaner zum Einen den Java Rhino Exploit verwendet. Betroffen sind dann bei Macs Java 1.6.0_27 und älter. Hier gibt's ein Video zur Verwendung mit Armitage/Metasploit und hier und hier gibt es mehr Informationen vom Entdecker der Lücke und von Oracle.

Die zweite verwendete Lücke dürfte diese von 2009 sein, da seit damals dafür ebenfalls ein Metasploit-Modul existiert.

Da dies bereits die zweite massive Sicherheitslücke in Java innerhalb von 2 Jahren ist, ist oneOeights Ratschlag der vernünftigste: Java im Browser deaktivieren oder unter Lion gar nicht erst installieren, wenn man's sonst auch nicht braucht. Und wenn man es unbedingt braucht (wie z.B. beim Onlinebanking mancher Anbieter), immer auf die aktuelle Version updaten.

 

[avalon]

nein, muss man nicht. Erst, wenn keine Java Lücke gefunden wird, fordert der Trojaner zur Installation eines Zertifikates auf .

Das ist aber schon übel, dass der Trojaner um Hilfe bettelt wenn er alleine nicht mehr klar kommt...

Ich denke mal öfters alle News "round about Mac" lesen, hilft mehr als sich intego zu installieren und sich in Sicherheit zu wiegen.

 

[Kaito]

Ich vermute sehr stark, dass der Trojaner zum Einen den Java Rhino Exploit verwendet. Betroffen sind dann bei Macs Java 1.6.0_27 und älter.

Hab hier, auf Lion, 1.6.0_26 drauf, bin laut Softwareaktualisierung aber aktuell. Wird Java schon nicht mehr darüber geupdated?

 

[David X]

Komisch, eigentlich ist 1.6.0_29 die aktuelle Version für Lion.

 

[oneOeight]

das java update kommt immer noch über software update...

 

[Kaito]

Ich glaube das ist mein Fehler. Hab da einst mal was verbrochen um in Eclipse zugriff auf die Quellen der Java Klassen zu haben, ich kann mich nur leider nicht mehr daran erinnern, was ich da getan habe.
Mit dem Update besitze ich nun die 1.6.0._29er JVM, nebst der _26er. In /Library/Java/JavaVirtualMachines haust nur die _26er, die _29er habe ich bisher noch nicht entdeckt. Wo leben diese denn normalerweiße, damit ich das auch Eclipse mitteilen kann?

 

[maba_de]

Das ist aber schon übel, dass der Trojaner um Hilfe bettelt wenn er alleine nicht mehr klar kommt...

Ich denke mal öfters alle News "round about Mac" lesen, hilft mehr als sich intego zu installieren und sich in Sicherheit zu wiegen.

und ohne Intego wüssten deine News Seiten auch von dem Trojaner?
Und woran man erkennt, das er sich selbst installiert hat? Und das einem in diesem Fall auch Brain nix nützt?
Erkennst Du wenigstens, wie falsch deine Denke hier ist? Die von Dir so verachteten Software Anbieter sorgen erst
dafür, das Du überhaupt informiert bist, eben weil sie den "Markt" beobachten und darüber informieren. Sie könnten ja auch einfach
ihre Pattern Updates anpassen und schweigen, tun sie aber nicht ...