Wir wurden infiziert...

[MACmichaMINI]

Dies ist keine Übung …

Das Steht dazu, auf der Aktuellen MAC LIVE Seite!

Dies ist keine Übung … Mac-Virus

Was sich schon mehrfach zumindest als „Proof of Concept“ andeutete, wurde nun Realität, ein waschechter Schädling für Mac OS X ist aufgetaucht. Und das Licht der Welt erblickte dieser nicht als schnöder E-Mail-Anhang, wie in der Windows-Welt mittlerweile fast Standard, sondern durch die Neugierde der Mac-Fans.
Pech hatten jene Gerüchte-Junkies, die sich aus dem Forum von macrumors.com mit „latestpics.tgz“ vom (schnell gesperrten) neuen Benutzer „lasthope“ einen vermeintlichen Screenshot des künftigen Mac OS X 10.5 Leopard besorgten, denn darin verbarg sich nichts anderes als die ausgeklügelte Grundlage für womöglich erst künftiges und dann vielleicht ungleich größeres Unheil. Der später als „Oompa Loompa“ oder „Leap-A“ bezeichnete Störenfried ist vielseitig, denn er startet als trojanisches Pferd (fälschlich „Trojaner“), weil er sich nicht zu erkennen gibt, verbreitet sich dann als Virus, weil er weitere Bestandteile des Systems infiziert und endet dann als Wurm, weil er mittels iChat AV in die Ferne schweift.

Interessant dürfte die Fortentwicklung des Verbreitungsgrades werden, da sich der Schädling ja über iChat AV neue Opfer sucht. Wer auf diesem Wege überraschend eine Datei namens „latestpics.tgz“ angeboten bekommt, sollte diese (und alle anderen Überraschungen) ablehnen oder ungeöffnet wegwerfen, sofern der Empfang versehentlich akzeptiert wurde. Wer die Datei leichtfertigerweise geöffnet und deren Inhalt dann noch mittels Doppelklick ausgeführt hat, muss zusätzliche Schritte unternehmen, um Schaden von der eigenen und anderen Tiger-Installationen (nur Mac OS X ab 10.4 ist betroffen, nicht jedoch die neuen Intel-Macs) abzuwenden. Der Effekt für das infizierte System ist nicht allzu negativ, denn nur die ab Installation des unwillkommenen Gastes gestarteten Anwendungen werden manipuliert, stürzen ab (was ein Versäumnis des Schädlingserzeugers ist), bleiben allerdings in der Lage, nach einem Doppelklick auf ihr Programmsymbol weitere Anwendungen zu infizieren.
Sowohl kommerzielle Antiviren-Programme wie Integos VirusBarrier X/X4 (www.intego.com/virusbarrier) als auch die kostenfreie Anwendung ClamXav (www.clamXav.com) sind fähig, Oompa Loompa/Leap-A sowie infizierte Anwendungen zu identifizieren. Es reicht ebenso ein Blick in den Ordner /Library/InputManagers und den gleichnamigen Ordner im eigenen Benutzerverzeichnis unter Library/InputManagers, um festzustellen, ob man überhaupt betroffen ist, denn darin befände sich dann unerwünschte Software namens „apphook.bundle“.

Es steht anzunehmen, dass sich Oompa Loompa/Leap-A weder sehr verbreitet, noch besondere Konsequenzen für betroffene Anwender hat. Ärgerlich ist nur der Sachverhalt an sich und die Möglichkeit künftiger Trittbrettfahrer, die sich der Grundlagen von Oompa Loompa/Leap-A bedienen werden. Zwar ist davon auszugehen, dass Apple in irgendeiner Form reagieren wird, doch zeigt der vorliegende Ansatz erstmals in der Praxis, dass auch Mac OS X nicht vor externen Manipulationen gefeit ist.

David Andel


An diesem Punkt ein danke schön an
David Andel, Chefredakteur der Mac Life clap

 

[madu]

Ich habe das mal gecheckt. Bei Safari öffnet sich das tatsächlich wunderbar mit nur einem klick auf den Link.

..was man aber in den Einstellungen abschalten kann. Unter Allgemein:
Der Punkt heisst ironischer- und irrtümlicherweise: "Sichere" Dateien nach dem Laden öffnen.
Hier müsste Apple zumindest nachbessern. Bilder sind neuerdings nicht mehr zwingend "Sichere Dateien"

 

[Hamsterbacke]

Bilder sind neuerdings nicht mehr zwingend "Sichere Dateien"

Neuerdings??
Bilder sind keine sicheren Dateien mehr, seit man alles mögliche außer der Bildinformation mit abspeichern kann (Kameradaten beispielsweise).
Also seit mehreren Jahren. Das wurde unter Win auch schon mehrfach ausgenutzt (der JPEG-Fall letztes Jahr beispielsweise).

Ähnliche gilt übrignes auch für Musikdateien aller Art.

Der Fall hier betrifft aber nicht mal das. Da wurde eine ausführbare Datei nur als Bild getarnt.

Gruß, Gerhard

 

[madu]

Neuerdings??
Bilder sind keine sicheren Dateien mehr, seit man alles mögliche außer der Bildinformation mit abspeichern kann (Kameradaten beispielsweise).
Also seit mehreren Jahren. Das wurde unter Win auch schon mehrfach ausgenutzt (der JPEG-Fall letztes Jahr beispielsweise).

Ähnliche gilt übrignes auch für Musikdateien aller Art.

Der Fall hier betrifft aber nicht mal das. Da wurde eine ausführbare Datei nur als Bild getarnt.

ja da hast Du völlig recht

Gerade deshalb ist es sehr irreführend, dass Apple die Option in den Safari-Einstellungen "Sichere Dateien nach dem Laden öffnen" nennt.
Wenn mich nicht alles täuscht, ist das sogar Standardeinstellung...

 

[Ulfrinn]

Das automatische Öffnen durch Safari führt lang noch nicht zu einer Infektion. Safari entpackt lediglich das Archiv. Die vermeintliche Bilddatei muß man schon selbst öffnen, denn Safari würde das nur bei einem echten Bild machen.

 

[Ulfrinn]

Bilder sind keine sicheren Dateien mehr, seit man alles mögliche außer der Bildinformation mit abspeichern kann (Kameradaten beispielsweise).
Also seit mehreren Jahren. Das wurde unter Win auch schon mehrfach ausgenutzt (der JPEG-Fall letztes Jahr beispielsweise).

Die Datei an sich ist sicher. Wenn allerdings das öffnende Programm einen Fehler hat, der mit einer manipulierten Datei ausgenutzt werden kann, ist das sicherlich ein Risiko. Das sagt aber nichts über den „Sicherheitsgrad“ einer Datei aus. Das gilt dann übrigens für ausnahmslos jede Art von Datei – auch für reine Textdateien.

Der Fall hier betrifft aber nicht mal das. Da wurde eine ausführbare Datei nur als Bild getarnt.

Richtig, daher würde Safari sie ja auch nicht öffnen (s. o.).

 

[hugels]

root - Admin - user Rechte

Ich dachte, dass wenigstens die Mac-Benutzer wissen, dass man das Adminkonto nur für administrative Zwecke benutzt.

Auch schon mal einen Mac neu aufgesetzt? (ja ich weiss; das machen wir Mac User sehr selten)

Default/Standard Installation:
User ist Admin und Apple sagt auch nix von wegen "bitte legen sie für den persönlichen täglichen Gebrauch einen weiteren User an und benutzen sie diesen Account nur zu Admin Zwecken..."
Ebenso bekommt man auch nur im Terminal die Warnmeldung zu Gesicht, wenn man ein "sudo" Befehl ausführen will. Auf der Finder Ebene heisst es lapidar bitte Admin & PW eingeben. Dass man somit kurzfristig auf der Finder Ebene root Rechte erhält (auch als normal User) ist wohl nur den wenigsten bekannt. In Tiger hat sich diesbezüglich was geändert und man kann die "rwx" Rechte und den Eigentümer nicht mehr so einfach ändern. Ist sicherer, aber ist für mich als admin ein Komfortverlust.

Ich habe diverse neue Macs im Bekanntenkreis gesehen und ihnen aufzeigen müssen warum man nicht als Admin arbeiten/spielen/browsen sollte; inkl. Entzug der Admin Rechte und anlegen eines Admin only Accounts. Am liebsten gebe ich das Admin PW gar nicht raus, damit alles noch läuft wenn ich mal wieder vorbeischaue. Programme sollten eh über drag n' drop installierbar sein und dies auch im lokalen "Applications" Ordner (kann selber angelegt werden). Der Admin kann es dann später immer noch für alle Benutzer in den "Programme" Ordner verschieben.

Hier schlammt meiner Meinung Apple und es liegt an uns alten Mac Hasen den neuen Macusern zu erklären warum MacOSX sicher ist und was zu unterlassen ist, damit das auch so bleibt!
Da habe ich schon alles gesehen (inkl. Rechte Freigabe eines ganzen User Ordners für alle, weil sie die Idee des "Shared" Folders nicht kannten.

Wenn das so weitergeht, ist es eine frage der Zeit bis sozial Engineering im Bereich Malware auf dem Mac populär und auch finanziell atraktiv wird.

 

[eumel59]

Hm, die Aufteilung nach Admin/User wird ja bei privaten Windowsusern gerne vernachlässigt, hingegen ist sie bei Linuxanwendern gang und gäbe.
Aufgerüttelt durch diesen Thread habe ich am Samstag meinen Mac auch in Admin/Userkonto aufgesplittet. Seit dem auch einige Anwendungen geefahren, die Adminrechte erforderten.
Die kleine Mühe, Adminnamen und Passwort einzutippen ist wirklich nicht störend, zumal, wenns der Sicherheit zuträglich ist.

 

[Morton]

Mich stört dabei eigentlich nur, dass die Hilfe von Photoshop Elements 3 nicht mehr funktioniert...

 

[Padawan]

Richtig, daher würde Safari sie ja auch nicht öffnen (s. o.).

Doch, das tut Safari, siehe das "Script" von Sheep

 

[Ulfrinn]

Doch, das tut Safari, siehe das "Script" von Sheep

Habe ich da gerade ein Brett vorm Kopf? Welches Skript von welchem Sheep?!

 

[hugels]

Hm, die Aufteilung nach Admin/User wird ja bei privaten Windowsusern gerne vernachlässigt, hingegen ist sie bei Linuxanwendern gang und gäbe.

Ha und weisst du auch warum? Weil M$ schlicht und einfach zu viele dämliche programmierer hat die keine Ahnung haben was Multi-User Betriebsystem in der praxis bedeutet.
Hab vor kurzem ein Win2K Pro neu aufsetzten müssen auf einem uralten ThinkPad. Es gibt einfach zu viele Programme die nur richtig funktionieren wenn man als Admin eingeloggt ist. Da hat man dann oft gar keine Wahl und wer will sich zum Surfen extra ausloggen und wieder anmelden als User.

Und man beachte:
M$ Windows 2000 Pro ist nur eine kleine Weiterentwicklung von Windows NT (Serverbetriebssystem) und somit sollte es ja eigentlich gehen.
Aber nein, Default user ist Administrator mit Systemrechten =root kopfkratz (nicht zu verwechseln mit Admin von MacOSX) und damit gehen sie mit dem IE und Outlook Express ins Web (bei Cablecom sogar ohne NAT Router).
Wundert ihr euch noch oder klingelt es?

Dann gibt es noch die Hauptbenutzer-gruppe, die User-Gruppe, sowie andere Gruppen die ich nicht kenne. Die Hauptbenutzergruppe ist ähnlich wie das Admin-Konto beim Mac. Nur lassen sich dort nicht alle Adminarbeiten ausführen und somit muss man sich trotzdem wieder root anmelden.

Ohne weiter ins Detail zu gehen (sonst bekomme ich einen Wutanfall) wage ich eine Behauptung:
Win NT ist Sch...se und technologisch in der Vorkriegszeit stecken geblieben. Da nun Win2K nur ein Update dessen war, gilt hier dasselbe; mit dem Zusatz, dass es ja wohl volldämlich ist ein Serverbetriebssystem auf HomePC zu installieren ohne all die System,- und Serverdienste zu entfernen die auf einem Server laufen.
WinXP ist mal böse gesagt ein angemaltes Windows 2000 und somit technologisch der selbe Müll.

Wer nicht glaubt dass MacOSX (oder andere UNIX/Linux) dem Betriebsystem aus dem Hause M$ technologisch überlegen ist, soll sich doch bitte mal ein wenig mit der Materie befassen und/oder mit ein paar UNIX Hackern (nein nicht die bösen Cracker / sehr gute Programmierer nennt man Hacker) oder guten UNIX / Linux Admins reden und seinen Horizont erweitern.

GruZ
hugels

 

[madu]

Das automatische Öffnen durch Safari führt lang noch nicht zu einer Infektion. Safari entpackt lediglich das Archiv. Die vermeintliche Bilddatei muß man schon selbst öffnen, denn Safari würde das nur bei einem echten Bild machen.

Nein, ganz offensichtlich nicht.
Jedenfalls nicht, wenn oben erwähnte Safari-Einstellung aktiviert ist, was standardmässig der Fall ist.

Habe ich da gerade ein Brett vorm Kopf? Welches Skript von welchem Sheep?!

https://www.macuser.de/forum/showpost.php?p=1535150&postcount=68

Gerade deshalb ist es sehr irreführend, dass Apple die Option in den Safari-Einstellungen "Sichere Dateien nach dem Laden öffnen" nennt.
Wenn mich nicht alles täuscht, ist das sogar Standardeinstellung...

 

[Ulfrinn]

Ah, klar – Irgendwie hatte ich den Beitrag bisher überlesen.
Safari scheint also lediglich die Dateiendung zu prüfen, und wenn diese auf eine sichere Datei hinweist, wird sie augenscheinlich direkt geöffnet. Daran hatte ich so gar nicht gedacht. Ich hatte nur den Fall berücksichtig, bei dem entweder eine falsche Dateiendung ausgeblendet ist („gefahr.png[.command]“) oder wo ein bestimmter Creator-/Type-Code angegeben ist.

 

[Junior-c]

Default/Standard Installation:
User ist Admin und Apple sagt auch nix von wegen "bitte legen sie für den persönlichen täglichen Gebrauch einen weiteren User an und benutzen sie diesen Account nur zu Admin Zwecken..."

Was aber eigentlich nicht viel bringen wird, denn der User hat Zugriff auf sein komplettes Home. D.h. auch der Virus/Trojaner, und das Home ist ja eigentlich das Wichtige. Das System kann ich jederzeit ersetzen/neu installieren aber die Userdaten könnten gelöscht werden, denn dieses Recht hat der User. Somit ist arbeiten im User Account auch nicht sicherer. Oder seh ich das falsch?

MfG, juniorclub.

 

[tau]

@ sheep:

Onkel Heise hat sicher hier mitgelesen und Dein Script probiert. Oder warum kommt er jetzt erst drauf?

Apples Safari führt Shell-Skripte automatisch aus

 

[NewMacer]

also ich bin verwundbar. was soll ich jetzt dagegen machen?

 

[Junior-c]

also ich bin verwundbar. was soll ich jetzt dagegen machen?

Das PB vom Internet trennen und einen sicheren Windows PC besorgen...

Automatisches Öffnen beim Safari deaktivieren oder einen ordentlichen Browser wie Camino verwenden und Hirn einschalten beim Surfen und öffnen von unbekannten Dateien, aber das sollte man sowieso machen.

MfG, juniorclub.

 

[hugels]

weitere infos bei Trojaner-Board.de

Was aber eigentlich nicht viel bringen wird, denn der User hat Zugriff auf sein komplettes Home. D.h. auch der Virus/Trojaner, und das Home ist ja eigentlich das Wichtige. Das System kann ich jederzeit ersetzen/neu installieren aber die Userdaten könnten gelöscht werden, denn dieses Recht hat der User. Somit ist arbeiten im User Account auch nicht sicherer. Oder seh ich das falsch?

Hallo juniorclub

Bin grad verwirrt von dir diese Frage zu lesen. Dachte ich hätte dich als Linux Kenner in Erinnerung - kann mich auch täuschen - oder willst du mich testen?

zur Frage:
Ja und Nein.
Wenn du davon ausgehst, dass du beim Befall von Malware dieses sofort feststellen wirst - dann ja!
Nur würde ich mal schwer bezweifeln, dass jeder mac User einen wirklich guten Trojaner erkennen würde. Von dem merkt man dann nämlich gar nix. Sonst ist der Programmierer ein Anfänger!

informier dich mal im web was Malware alles kann und wie sich die einzelnen Arten voneinander unterscheiden. Der Befall an sich ist meist noch nicht schlimm. Aber wenn dann durch die Hintertür der PC zum Zombie (Bot netz) wird oder ein Keylogger installiert wird... dann gute N8.
PC user finden selbst eine Startup Zeit von 10 Minuten noch nicht alarmierend! Hallo klingelt es? zum runterfahren gehts auch mind 5 minuten? warum is mir schon klar - nur den "sorglos, mir egal" Usern geht das am A.... vorbei, solange sie noch irgendwie ins Web kommen um ihre emails zu lesen. Alles erlebt - da kommt mir als Mac User (und Admin) das kotzen.


A) Jedes Programm ist auf das System angewiesen > ohne System läuft kein Programm!
Wenn nun der Trojaner/Virus/Wurm in dein Home Folder gelangt hat er genau die gleichen Rechte mit denen Du angemeldet bist.
Will heissen als Admin (und noch schlimmer als root) eingeloggt hat Malware automatisch mehr Rechte und kann grösseren Schaden anrichten.
Ein Trojaner will aber nach draussen kommunizieren und das bedingt eine Änderung der Systemeinstellungen und diese darf nur der Admin ändern.
Vu? gesehen?


B) Im Home Folder liegen deine pesönlichen Sachen die man regelmässig sichern sollte (Backup auf externe Speichermedien).
Die Frage ist ja nicht ob die interne HD abrauchen wird, sondern nur wann dies passieren wird. Jede HD gibt früher oder später den Geist auf!


>> wenn ich so als Benutzer (ohne Admin rechte) mal was einfange und nicht so dämlich war und Admin Name inkl. PW eingegeben habe, so ist mein System noch 100% in Ordnung (solange es kein Sicherheitsloch gibt in MacOSX).
Habe ich ein Backup so kann ich dieses nach Malware überprüfen und einen neuen User anlegen. Den infiszierten User lösche ich und hole mir die nötigen Dateien aus dem Backup (keine ausführbaren Programme und Scripts, weil diese als verseucht zu betrachten sind --> siehe http://www.trojaner-board.de/showthread.php?t=12154)
also nur reine Daten zurückholen!


PS: ich habe irgendwie das Gefühl, dass ich dir hier nix neues erzähle, aber vielleicht liest ja jemand mit, der nicht aus der UNIX/Linux welt kommt

 

[QWallyTy]

@ sheep:

Onkel Heise hat sicher hier mitgelesen und Dein Script probiert. Oder warum kommt er jetzt erst drauf?

Apples Safari führt Shell-Skripte automatisch aus

ich denke mal die haben gestern abend mac-tv gesehen.