Trojaner, Spyware und Keylogger - ist dein Mac OS X verseucht?

[cilly]

Vor einer rm -rf Aktion kann man sich aber auch schützen, z.B. indem man wichtige Daten mit einem "Lock"-Bit im Info-Fenster versieht. Damit es handlebar ist, evtl. ein Diskimage (am besten mit AES) und dieses bei nicht Gebrauch mit einem "Lock" sichern.

 

[cilly]

Auf der betreffenden Seite habe ich falsche Angaben gemacht und das Programm habe ich in meinen Proggiefolder gelegt.

Da steht aber auch, dass die Angaben komplett freiwillig sind und dass diese nicht benötigt werden und man ohne Angaben mit dem Download fortfahren kann.

 

[avalon]

Ist dein Mac bereits verseucht?

Wenn mein Router nicht dazwischen wäre: JA!

Und woher weißt du das so genau.

Bitte um Erklärung.

 

[Markus87]

... weil voher genügend Viren, ... reinratterten.


Mein Windows-Rechner stand aber mit knapp 500 Viren an der Spitze.

 

[maceis]

@maceis
Nein, aber es handelt sich auch nicht um einen Trojaner, denn das Proggy muss vom User gestartet werden.

Dann sollten wir vielleich zunächst mal die Begriffe klären.

Ein schädliches Programm, welches nicht vom User oder anderen Programmen gestartet werden muss nennt sich Wurm.

Selbst Viren müssen aktiv durch den User oder automatisch (z. B. durch das automatische Öffnen von Email Anhängen) gestartet werden.
Ein Virus kann auf einem Computer keine schädliche Aktivität entwickeln, wenn er nicht bewusst oder automatisch gestartet wird.

Ein Trojaner ist eine Software, die neben einem erwünschten und offensichtlichen Aspekt (das Geschenk eines Holzpferds) eine verborgene, unerwünschte und schädliche Aktivität (die im Inneren versteckten Krieger) entwickelt.
Ein typischer Trojaner ist beispielsweise ein Freewareprogramm, welches im Hintergrund eine Backdoor öffnet und den Programmierer über diese informiert.
Auch ein Trojaner muss vom Benutzer oder vom System bzw. anderen Programmen aktiviert werden.

Und hier kommt meine Kritik an MacScan ins Spiel.
Da die Möglichkeit den Quelltext zu lesen und das Programm selbst zu kompilieren nicht gegeben ist, ist das Risiko MacScan zu starten genauso hoch, wie das Risiko irgendeine andere Free-/Shareware zu starten.
Der Einsatz von MacScan erfordert also zum "Schutz vor Trojanern" vom Benutzer eine Verhaltensweise, die unter dem Aspekt "Schutz vor Trojanern" nicht zulässig ist.
------
Kurz noch ein Wort zur Verteilung von Trojanern.

Angenommen ich wäre ein böser Bube, und möchte endlich einen Mac OS X Trojaner in Umlauf bringen.
Wie könnte ich da vorgehen, wo doch Windows viel weiter verbreitet ist?

Zunächst schreibe ich den Trojaner und denke mir einen schönen Namen aus (z. B. MacSan). Die Software macht zunächst nichts anderes als ein schönes Fensterchen anzuzeigen "Es wurden keine Trojaner gefunden".
Im Hintergrund, wird die Schadkomponente installiert, die sich nach vier Wochen automatisch aktiviert.

Ich könnte doch eine Webseite gestalten (die möglichst seriös und professionell wirkt, etwa wie die von MacScan).
Als nächstes poste ich in einem großen Benutzer Forum einen Beitrag, wie gut diese Software doch ist, und frage welche Erfahrung andere damit gemacht haben.

Dieser Thread hier beweist, dass eine ganze Reihe von Benutzern sich diese Software dann herunterladen und ausführen werden.
In der weiteren Diskussion könnte ich noch (evtl. unter einem anderen Benutzernamen) behaupten, die Software hätte einen Trojaner gefunden, z. B nachdem ich die neuste Version von iTunes installiert hatte, um den "Erfolg" noch zu steigern.

...
Wenn es so leicht wäre, dann wären sie im Umlauf, dafür möchte ich meinen Allerwertesten verwetten.

Aufgrund der Tatsache, dass mein Trojaner.app bereits mehrfach heruntergeladen und gestartet wurde erhebe ich hiermit Anspruch auf deinen Allerwertesten.
Wo kann ich ihn abholen?

 

[avalon]

... weil voher genügend Viren, ... reinratterten.

Sorry, aber hier geht es um Viren für den Mac, das es für Windows genügend gibt ist wohl klar. kopfkratz

 

[maceis]

Und noch was.
Ein Router kann nicht vor Viren oder Trojanern schützen.
Vor einer bestimmten Art von Würmern allerdings schon.

 

[Markus87]

@avalon:

... und ich rede von Mac und Windows.

Übrigens sind die Viren auf der ganzen Welt um circa 50% zurück gegangen. Dagegen sind jedoch Spam-Mails mehr geworden und genauso Spyware.

 

[maceis]

...
Auf der betreffenden Seite habe ich falsche Angaben gemacht und das Programm habe ich in meinen Proggiefolder gelegt.
Ich sehe hier kein Problem.
...

Und genau das ist das Problem!

...
Übrigens, diejenigen die dem Tool misstrauen können einen neuen Benutzer ohne Adminrechte anlegen, dann das Programm von diesem Benutzer aus ohne Adminrechte und ohne Authentisierung starten. Anschließend den neuen Benutzer wieder löschen.

.. und erreichen damit im besten Fall, dass alle Dateien und Verzeichnisse, auf die dieser Benutzer Zugriff hat geprüft werden können.
Das ist so wie "Ich schnall' mich an, aber nur, wenn ich nicht schneller als 30 fahre" .

 

[sheep]

Ist ja alles gut und schön, aber warum gibt es keine da draußen.
Die Frage hat mir immer noch keiner beantwortet.

Wenn es so leicht wäre, dann wären sie im Umlauf, dafür möchte ich meinen Allerwertesten verwetten.

Was heisst hier "wenn es so leicht wäre"? Beweisen die Scripts von maceis und von mir etwa nicht, dass es einfach IST?

Die Weiterverbreitung (um welche es dir offenbar geht) ist ein anderes Thema, dafür braucht es natürlich genügend Rechner, die OS X ausführen - darum ging es mir allerdings nicht und maceis wohl auch nicht. Das soll nur demonstrieren, dass es sehr leicht ist, den eigentlichen Schädling zu schreiben, ob dieser sich weiterverbreiten kann, steht auf einem ganz anderen Blatt - was sich schnell ändern könnte, wenn mehr Leute einen Mac (oder im Fall meines Scripts ein beliebiges Unix) einsetzen.

Und überhaupt: WER sagt dir, dass es sie "da draussen" nicht gibt? Gerade mein Script zeigt, dass es nicht nur einfach ist, schädlichen Code auszuführen, sondern dass dies automatisiert und unauffällig geschieht - ich glaube nicht, dass jemand, der sich meinen "Trojaner" einfangen würde, so schnell herauszufinden im Stande wäre, was da genau los ist.

 

[avalon]

@avalon:

... und ich rede von Mac und Windows.

Übrigens sind die Viren auf der ganzen Welt um circa 50% zurück gegangen. Dagegen sind jedoch Spam-Mails mehr geworden und genauso Spyware.

Ok, da es aber nur eine Handvoll Viren gibt und zwar für Mac OS 9 und früher und nicht für OS X, müssen es also andere Viren etc. sei, die dein Router fernhält.

In deinem Posting klingt das so als wenn es für den Mac gilt.

Das verwendete Betriebssystem hat großen Einfluss darauf, wie groß die Wahrscheinlichkeit einer Vireninfektion ist. Während für Windowssysteme über 60.000 Viren existieren, gibt es für Linux und Mac OS jeweils etwa 50 Viren.

 

[maceis]

Vor einer rm -rf Aktion kann man sich aber auch schützen, z.B. indem man wichtige Daten mit einem "Lock"-Bit im Info-Fenster versieht. Damit es handlebar ist, evtl. ein Diskimage (am besten mit AES) und dieses bei nicht Gebrauch mit einem "Lock" sichern.

Das macht die Sche etwas komplizierter, bietet aber letztendlich keinen verlässlichen Schutz, solange man das "Lock"-Bit mit den Berechtigungen des angemeldeten Benutzers entfernen kann?

Ich glaube aber, die Hauptgefahr besteht nicht primär darin, dass jemand meine Daten löschen möchte (wofür gibt es backups?) sondern darin, dass jemand meine Ressourcen bzw. meine Identität nutzt, z. B. um Spammails von meinem Rechner aus zu versenden oder zweifelhafte Daten von meinem Rechner aus verteilt.

 

[maceis]

...
ob dieser sich weiterverbreiten kann, steht auf einem ganz anderen Blatt
...

Trojaner lassen sich genauso leicht in Umlauf bringen wie jede andere Share-/Freeware.
Eigentlich noch einfacher, da man auch über P2P Programme u. ä. Trojaner verbreiten kann (getarnt als begehrte Programme, die dann halt möglicherweise nicht funktionieren).

 

[sheep]

Trojaner lassen sich genauso leicht in Umlauf bringen wie jede andere Share-/Freeware.
Eigentlich noch einfacher, da man auch über P2P Programme u. ä. Trojaner verbreiten kann (getarnt als begehrte Programme, die dann halt möglicherweise nicht funktionieren).

Schöne Erkläung, das leuchtet ein . Ich hatte oben auch mehr auf E-Mail-Verkehr abgezielt, weil das der grösste Distributionskanal für Windows-Schädlinge ist.

 

[autoexec.bat]

Trojaner lassen sich genauso leicht in Umlauf bringen wie jede andere Share-/Freeware.
Eigentlich noch einfacher, da man auch über P2P Programme u. ä. Trojaner verbreiten kann (getarnt als begehrte Programme, die dann halt möglicherweise nicht funktionieren).

Was sich schon schön hier an dem Beispiel MacScan nachweisen lässt. 1225 Hits. Ich schätze so zwischen 50 und 100 Leute werden das Programm getestet haben. So schnell geht das.

 

[Markus87]

Habe Null

Jo. Router'li. Hast du schön gemacht. Hier ein Leckerli.

 

[maceis]

Was sich schon schön hier an dem Beispiel MacScan nachweisen lässt. 1225 Hits. Ich schätze so zwischen 50 und 100 Leute werden das Programm getestet haben. So schnell geht das.

Wenn ich einen Trojaner verteilen wollte, würde ich es genau so machen.
Und noch immer kann nicht bewiesen werden, dass MacScan kein Trojaner ist.

Habe Null

Jo. Router'li. Hast du schön gemacht. Hier ein Leckerli.

Ich will Dir ja nicht zu nahe treten, aber ich glaube, Du hast noch nicht einmal das Problem erkannt.

 

[cilly]

Schlagabtausch maceis gegen cilly

maceis, hast du was gegen mich, dass du dich so intensiv über meine Zitate auslässt? (hm, vielleicht hätte ich das nicht schreiben sollen, aber ich spreche mich gerne direkt aus, darum nutze ich nun die Gelegenheit alle deine verteilten Posts im Ganzen abzuhandeln.)

Dann sollten wir vielleich zunächst mal die Begriffe klären.

...

Den Begriff hättest du nicht mehr klären müssen, da meine Aussage:

Nein, aber es handelt sich auch nicht um einen Trojaner, denn das Proggy muss vom User gestartet werden.

bereits von TheFallenAngel berichtigt wurde:

Die meisten Windows Trojaner werden vom User gestartet.

und ich meinen Fehler zugab und mit dem wiki-link zum Begriff Trojaner ergänzte:

Hast recht:

http://de.wikipedia.org/wiki/Trojanisches_Pferd_%28Computerprogramm%29

***

Und hier kommt meine Kritik an MacScan ins Spiel.
Da die Möglichkeit den Quelltext zu lesen und das Programm selbst zu kompilieren nicht gegeben ist, ist das Risiko MacScan zu starten genauso hoch, wie das Risiko irgendeine andere Free-/Shareware zu starten.
Der Einsatz von MacScan erfordert also zum "Schutz vor Trojanern" vom Benutzer eine Verhaltensweise, die unter dem Aspekt "Schutz vor Trojanern" nicht zulässig ist.

Securemac http://www.securemac.com/ ist schon längere Zeit mit sicherheitsrelevanten Aspekten bezüglich Mac OS X tätig. Die Leute, die dahinter stehen, sind bekannt und haben keine böse Absicht und bieten mit Macscan eine Möglichkeit nach Schadsoftware zu suchen. Zudem bieten diese Jungs auch ein Forum an (Bugreports, Support...): http://macscan.securemac.com/macscanforum/index.php

Aufgrund der Tatsache, dass mein Trojaner.app bereits mehrfach heruntergeladen und gestartet wurde erhebe ich hiermit Anspruch auf deinen Allerwertesten.
Wo kann ich ihn abholen?

Ich hab's herunter geladen und nicht gestartet sondern, etwas genauer betrachtet. Allerdings ist es ein fertiges Binary. Werde es evtl. wenn ich viel Zeit habe mal debuggen.

Und noch was.
Ein Router kann nicht vor Viren oder Trojanern schützen.
Vor einer bestimmten Art von Würmern allerdings schon.

Ein Router stellt aber in Verbindung mit NAT bzw. PAT eine zusätzliche Hürde da, die ein Trojaner erst einmal überspringen muss. Somit kann ein Router sehr wohl vor Viren oder Trojaner schützen. Doch ein Router ist kein Schutz vor Viren und Trojanern.

maceis, ich hoffe du verzeist mir die wörtliche Spitzfindigkeit.

Übrigens, diejenigen die dem Tool misstrauen können einen neuen Benutzer ohne Adminrechte anlegen, dann das Programm von diesem Benutzer aus ohne Adminrechte und ohne Authentisierung starten. Anschließend den neuen Benutzer wieder löschen.

... und erreichen damit im besten Fall, dass alle Dateien und Verzeichnisse, auf die dieser Benutzer Zugriff hat geprüft werden können.
Das ist so wie "Ich schnall' mich an, aber nur, wenn ich nicht schneller als 30 fahre".

Nun, du glaubst gar nicht, auf wieviele Dateien ein normaler User ohne Adminrechte Leserechte hat. Leserechte reichen zum Scannen vollkommen aus. Ich würde es deshalb durchaus als Alternative in Betracht ziehen.

 

[avalon]

Aufgrund der Tatsache, dass mein Trojaner.app bereits mehrfach heruntergeladen und gestartet wurde erhebe ich hiermit Anspruch auf deinen Allerwertesten.
Wo kann ich ihn abholen?

Kann ihn dir leider nicht zur Verfügung stellen, da einige Vorraussetzungen nicht erfüllt sind..

Wissentlich runter geladene Trojaner Viren oder Würmer gelten nicht.

Wäre ja noch schöner.

Meldung im Fenster:

Dieses ist ein Schädling, er zerstört ihre Daten!
Möchten sie ihn dennoch runter laden?

JA / NEIN / ABBRUCH

Auf JA getippt erfolgt dann noch die MS typische Meldung:

Sind sie wirklich sicher? ......


Nee nee, so geit dat nich mein Freund..

 

[cilly]

Mit Resource-Forks könnte man sogar eine andere Endung wählen, z.B. mp3. Man könnte z.B. die Datei von maceis benennen in:

vanilla ice - brand new song.mp3

Beim Start wird wegen der Resource-Fork automatisch das Programm gestartet und ohne Anfrage und ohne Message-Window das Home-Verzeichnis gelöscht.

Deswegen solle man Daten, wie z.B. mp3, avi, pdf, jpg, u.a. ... vorher überprüfen und ggf. die Resourceforke entfernen.

Dieser Exploit ist schon länger bekannt. Apple hat nicht darauf reagiert.

OS X hat aufgrund Resource Forks deshalb eine zusätzliche Sicherheitslücke verglichen mit anderen Nixen.