• Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
    Näheres könnt Ihr hier nachlesen: AGB-Änderung
  • Das neue Jahr beginnt wie das alte - natürlich mit einem neuen Fotowettbewerb! Auch im Monat Januar freuen wir uns auf Eure Einsendungen. Wie es weitergeht, wisst Ihr ja - Hier geht es lang --> Klick

Neuer Trojaner für OS X? bzw fast Virus?

andi*h

Gast
hello,

also ich für meinen teil würde nicht davon ausgehen, daß local und ich uns gestritten haben ;)

lg, andi
 

Cyrics

Neuer Berner Rosenapfel
Registriert
01.04.05
Beiträge
1.973
LoCal schrieb:
1. Ich betreibe keine Panikmache!
2. Boom -> Du hast noch nie ne Keynote von Steve Jobs gesehen, richtig?
3. Das Teil kommt nicht via "Unbekannt", sondern via iChat-Kontaktliste und die Leute die z.B. in bei mir da drin sind kennen mich alle
4. Ob das in english kommt oder nicht, liegt nur am "Fleiß" des Programmierers. Denn, wenn er vorher nach der verwendeten Sprache sucht, und dann jeweils eine Nachricht in der nativen Sprache des "versenders" erstellt, dann kommt da nix in plump englisch.

Soweit es den Anschein hat ist das Teil Proof-of-Concept, aber ein gewaltiger.
dann sag mir bescheid, wenn du den diesen gemeingefährlichen Trojaner bei dir auf dem System hast, und schick ihn mir dann bitte zu an schreibtanmich at goowy.com.
Dieses Proof-of-Concept-Meisterstück will ich dann auch einfach mal in den Händen halten können :D
Und nach deinen Erfahrungsberichten scheinst du diesen gemeingefährlichen Trojaner ja schon bei dir vorbei gehoppelt gesehen zu haben.

Ich seh bisher keine einzige Schwachstelle... die einzige Schwachstelle ist derzeit der User, und den ganzen BOOOM-Mist, kann er sich auch selbst mit dem Festplatten-Dienstprogramm und Platte formatieren, durchführen.

Ich glaub du kennst dann noch gar keine netten kleinen Viren, die ihren eigenen SMTP-Server mitbringen, bevor sie sich aber deiner Kontaktliste bedienen noch ein paar Systemeinstellungen löschen, den Dokumente ordner mit 0en überschreiben lassen etc., erst dann verschickt er sich ohne Aufforderung weiter. Und das tolle: der User muss gar nichts mehr zutun. Er brauch nicht mal zugucken, weil er davon gar nichts mitbekam. Der Trojaner ist doch bloss eine Klick-Mich-ich-bin-ein-Trojaner-Angriff. Das ist billig! Sorry
 

hochstammapfel

Châtaigne du Léman
Registriert
18.04.05
Beiträge
826
LoCal schrieb:
1. Ich betreibe keine Panikmache!
Nee. Vielleicht eher Hysterie. ;)
LoCal schrieb:
2. Boom -> Du hast noch nie ne Keynote von Steve Jobs gesehen, richtig?
Oh. Was hat denn Boom mit His Steveness zu tun? Ging mal was kaputt?
LoCal schrieb:
3. Das Teil kommt nicht via "Unbekannt", sondern via iChat-Kontaktliste und die Leute die z.B. in bei mir da drin sind kennen mich alle
Ja, und die fragen sich dann alle, warum du so komisches Zeug blabberst im iChat, wenn der Trojaner sich meldet... Oder haben die alle zuwenig Grips?
LoCal schrieb:
4. Ob das in english kommt oder nicht, liegt nur am "Fleiß" des Programmierers. Denn, wenn er vorher nach der verwendeten Sprache sucht, und dann jeweils eine Nachricht in der nativen Sprache des "versenders" erstellt, dann kommt da nix in plump englisch.
Kann ich zustimmen. Aber ich lasse mich mal im Glauben, dass der Entwickler dieses Trojaners ein ziemlicher Nerd / Geek, was auch immer ist. Also ziemlich (schreib-)faul und hat vermutlich eh keine Ahnung von Sprachen, in denen man nicht mit so lustigen Klammern, Backslashes und Zahlen hantieren muss...
 

Indigo0815

Rheinischer Winterrambour
Registriert
05.01.05
Beiträge
931
andi*h schrieb:
hello,

also ich für meinen teil würde nicht davon ausgehen, daß local und ich uns gestritten haben ;)

lg, andi

...du bist ja auch nicht gemeint, du UNSCHULDSENGEL, Du! :innocent:


;)
 

MatzeLoCal

Rheinischer Bohnapfel
Registriert
05.01.04
Beiträge
2.422
Cyrics schrieb:
dann sag mir bescheid, wenn du den diesen gemeingefährlichen Trojaner bei dir auf dem System hast, und schick ihn mir dann bitte zu an schreibtanmich at goowy.com.
Dieses Proof-of-Concept-Meisterstück will ich dann auch einfach mal in den Händen halten können :D
Und nach deinen Erfahrungsberichten scheinst du diesen gemeingefährlichen Trojaner ja schon bei dir vorbei gehoppelt gesehen zu haben.

Lies hier mit, das tue ich auch.
Ich habe nie behauptet, dass ich das ding habe.

Was mich schlicht und ergreifend ankotzt ist diese Ignoranz einiger Mac-User (keiner von denen die hier schreiben). Ich hatte hier zwar auch ne 100-Euro Wette laufen, dass so n Typ mir binnen einer Woche keine OS X-Virus beibringen kann, aber da war ich mir sicher, dass der das NIE selbstmachen kann und dass es einen Virus für OS X nicht gab und gibt. Aber das ganze jetzt als "ist-doch-nix" zu bewerten halte ich für dumm.
 

Cyrics

Neuer Berner Rosenapfel
Registriert
01.04.05
Beiträge
1.973
Danke für den Link. War sehr informativ. Nun weiss ich wenigstens, dass der User wirklich dämlich sein muss, wenn er die Datei erst entpacken und dann noch doppelt draufklicken muss, also sie danach sogar noch eigenhändig aktivieren muss. Und dann passiert bisher noch nicht mal etwas, sondern er versucht sich dann nur zu verbreiten, um wohl zu zeigen "schaut her, ich bin ein gemeiner böser Virus", was aber nur ein kleiner doofer Trojaner ist. Und Trojaner seh ich nicht als Gefahr an, zumindestens keinen Trojaner mit solchem Funktionsumfang.
Da muss sich die Antivirus-Firma, die den Trojaner sicher entwickelt hat, schon was besseres einfallen lassen um den Verkauf von deren Produkten wieder etwas zu fördern ;)

Der Trojaner hat doch bisher schon mehr als nur eine Schwachstelle...
  • der User muss das Archiv herunterladen
  • der User muss das Archiv eigenhändig entpacken lassen
  • der User muss den darin enthaltenen Trojaner aktivieren durch einen Doppelklick
  • der Trojaner versagt, wenn der User kein Admin ist
  • der Trojaner versagt, wenn der User kein aktuell gehaltenes iChat nutzt
  • der Trojaner versagt, wenn gar kein iChat vorhanden ist (wie bei mir)

die schlimmste Schwachstelle finde ich einfach, dass man den Trojaner, richtig schön Trojaner-like, extra aktivieren muss. Trojaner gibt es bei jedem System. Wenn der User so doof ist, alles zu aktivieren, was er zwischen die Finger kriegt, kann ich ihm auch eine Routine schreiben, die den Application-Ordner aufräumt, und er klickt da auch sicher doppelt herauf und gibt sogar sein Admin-PW ein, wenn in der Überschrift "Delete all your Applications" steht... es gibt schon gemeingefährliche User auf dieser Welt! Das kann ich wirklich nicht verleumnen. Was ich schon für Horror-Szenarien erlebt hab in einer Klinik, wo Menschen vor einem PC sitzen, die einfach alles machen um dieses System zu vernichten (aber ich denke da steckte keine Absicht hinter... hab ich zumindestens immer gehofft). Für diese Leute ist dieser Trojaner wirklich eine Gefahr.
 

logomito

Gast
Ist eindeutig ein Trojaner und wird bestimmt nicht der letzte sein. Das ist natürlich bedauerlich, aber leider Realität.
Welcome to the Club!
 

Der Jan

Stechapfel
Registriert
27.08.04
Beiträge
160
Für Panik ist es wahrscheinlich viel zu früh, aber man sollte sich schon ein paar Gedanken zu dem Thema machen.

Trojaner benötigen m.W. immer irgendeine Art von Interaktion seitens des Benutzers, sonst wäre es ein Virus und kein Trojaner. LoCal hat da in meinen Augen absolut Recht, wenn er sagt, dass das mögliche Ausmaß der Verbreitung in erster Linie vom Ehrgeiz des Programmierers abhängt. Ich chatte nicht, aber es braucht mir keiner erzählen, dass er es immer mitbekommen würd, wenn er von einem Bot und nicht von seinem Chatpartner eine Datei geschickt bekommt.
Heute habe ich z.B. 4 Emails von Kommilitonen geschickt bekommen, die nur aus einem Anhang und einem belanglosem Satz bestanden. Natürlich habe ich die Mails erwartet, aber ich schätze mal, dass ich die Anhänge auch unter anderen Umständen ohne größere Vorsichtsmaßnahmen geöffnet hätte. Die Möglichkeit sich so ein Programm einzufangen ist in meinen Augen definitiv bei jedem von uns gegeben.

Das ist natürlich kein Grund um jetzt Panik zu schieben, aber vielleicht sollte man solche Meldungen mal zum Anlassnehmen sich ganz allgemein und unaufgeregt Gedanken über die Sicherheit seines Rechners zu machen, um nicht irgendwann mit komplett heruntergelassen Hosen dazustehen.

Klar ist OS X sicherer als Windows und auch zu wenig verbreitet, als das sich Viren u.ä schnell verbreiten könnten, aber in meinen Augen ist es, ganz nüchtern betrachtet, nur eine Frage der Zeit bis jemand mit den entsprechenden Fähigkeiten und der Motivation den ersten gefährlichen Virus oder Trojaner auf uns loslässt.
 
  • Like
Reaktionen: MatzeLoCal

Cyrics

Neuer Berner Rosenapfel
Registriert
01.04.05
Beiträge
1.973
Trojaner nutzen die Schwachstelle des Benutzers aus.

Viren und Würmer nutzen die Schwachstelle des Systems aus. Da ist ein grundlegender Unterschied, der in meinen Augen hier auch mal klar hingestellt werden sollte. Wer nun darüber sinnieren möchte, ob OSX unsicher ist, der kann das gut und gerne tun, aber nicht mit der Grundlage eines neuen Trojaners, der von jedem x-beliebigen geschrieben werden könnte, und nicht viel an Einfallsreichtum mitbringen muss! Gegen einen Trojaner ist weder ein Windows, noch irgendein Unix-System sicher, denn bei einem Trojaner, sitzt die Schwachstelle vor dem Gerät!

*mich aus der Diskussion ausklink*
 

Jens

Ingrid Marie
Registriert
05.01.04
Beiträge
269
Gegenmaßnahme:

Einen neuen Benutzer anlegen (z.B. Admin) und Hacken setzen bei "Der Benutzer darf diesen Computer verwalten".
Dieses Recht nimmt man dann seinem Standart-Benutzer.
Dann passiert folgendes: Wenn man jetzt böse pseudo-jpgs doppelklickt, dann wird man erst nach dem Admin-Passwort gefragt, bevor das shell-script loslegt.
Das sollte einen dann aber misstrauisch machen, da das Öffnen eines Bildes normalerweise keine Passwort-Eingabe erfordert...
Und generell: unbedingt versuchen, nicht automatisch OK zu klicken oder ein Kennwort einzugeben, wenn man nicht weiß, wozu das jetzt gut sein soll.
Lieber mal "Abrechen" klicken...
 
  • Like
Reaktionen: Mainzelmaennsche

Stereotype

Tokyo Rose
Registriert
19.09.04
Beiträge
67
Nicht SPON hat den "Virus" entdeckt, es ist bei macrumors in einem Posting aufgetaucht und es handelt sich dabei nicht um einen "Virus" eher um ein "Programm" mit Wurm-Charakter. Und dieses "Programm" richtet in der Form nichts an. Aber es ist dennoch möglich, dass jemand schädlichen Code in das Programm einführt und es in Umlauf bringt.

http://forums.macrumors.com/showthread.php?t=180579
 

andi*h

Gast
hello,

erst einmal: es geht um ein trojaner.
dann ist es schon die dritte meldung zu diesem thema...
siehe hier und hier (sogar im selben board)

lg, andi
 

pepi

Cellini
Registriert
03.09.05
Beiträge
8.740
Ich hab mir das Ding mal von aussen grob angesehen, nachdem ich jetzt gerade keinen Quarantäte-Testrechner zur Hand habe.

1. Wenn man die Datei auspackt, dann zeigt sich in der Info, daß es sich um ein Unix-executeable handelt. Die Spaltendarstellung ist also schonmal vorteilhaft. Wer in der Listendarstellung die "Art" Spalte aktiviert hat, sollte ebenfalls stutzig werden. Lediglich Icon Liebhaber müssen einmal I drücken um zu sehen, daß es ein Programm ist.

2. Wer genau schaut sieht, daß der ursprüngliche Poster auf MacRumors genau ein einziges Posting gemacht hat. Also nicht unbedingt die vertrauenswürdigste Person. (Auch unter der Annahme, daß jemand der tatsächlich solche Bilder hat natürlich bemüht sein wird seine Spuren möglichst zu verwischen.)

3. Wenn man genau hinschaut (zB mit file den Datentyp erfragt) bekommt ein sehr eindeutiges "latestpics: Mach-O executable ppc" zu sehen. Damit ist klar, der rennt in Rosetta. Die Performance dürfte also nicht berauschend sein. :) *tschuldigung*

4. Wer so ein File ungeschaut einfach doppelklickt...

5. Die einzige Sicherheitslücke die hier ausgenutzt wird ist die Dummheit oder Unachtsamkeit des Users. (Leider kann man die in den meisten Fällen nicht patchen.)

6. Daß wir unter Mac OS X irgendwann unsere Viren- & Trojanerfreie Jungfräulichkeit verlieren würden war klar. Jetzt wissen wir auch, wann es passiert ist.

7. Wem es nicht seltsam vorkommt, daß beim Öffnen eines vermeintlichen Bildes ein Terminal aufgeht, hat zwar schon (dummer User) draufgeklickt, aber kann wenigstens noch wen zu Rate ziehen der das genauer ansieht.

Fazit: Wer aufpaßt ist klar im Vorteil

Ich werde mir das jedenfalls noch genauer ansehen. ClamAV erkennt die Datei zum Zeitpunkt dieses Postings leider noch nicht.
Gruß Pepi

Keine Panik
 
  • Like
Reaktionen: 2 Mitglieder

Containy

Boskop
Registriert
28.06.04
Beiträge
207
Cyrics schrieb:
wer so doof ist und alles anklickt, was er von irgendeiner Adresse bekommt, der ist sowieso arm dran. Und der Trojaner wird dir sicher keine Grussworte in die Mail schicken, sondern vielleicht einen lapidaren Satz in Englisch... das sollte man vielleicht auch mal bedenken. Ich benutze z.B. gar kein iChat :p

Das freut uns sicherlich für Dich, aber eben von dieser Ignoranz redet LoCal. Ich sehe es dazu schlicht weg als Naivität. Es gibt einen Trojaner, den man im moment noch selbst anklicken muss.

Wenn man aber etwas weiterdenkt (ist gar nicht so schwer, hab ich selbst schon probiert), dann sollte man auch berücksichtigen, dass es Weiterentwicklungen geben kann und dies nunmal erst einer der ersten (zwei?) Trojs ist.

Das die Community da schneller warnt als sich der Troj weiterverbreitet ist auch nicht wirklich ein Trost. Um mal mit der Windowswelt zu vergleichen: Mein Virenscanner auf der Arbeit läd jeden Tag dutzende neue Anti-Virenfiles runter. Ich glaube bei dieser Menge schafft es die größte Community nicht mehr rechtzeitig vor jedem Virus Alarm zu schlagen.

Bitte nicht falsch verstehen, ich sehe auch noch keinen Grund zur Panik (Und vom Threadersteller geht wohl eher Besorgnis aus, von Panikmache kann da keine Rede sein). Aber man sollte auch nicht so blind/dumm/naiv sein und das völligst ignorieren, denn alles fängt irgendwann mal klein an. Auch wenn ich hoffe, dass es bei MacOS X nie so schlimm werden wird, kann ich es jedoch nicht ausschließen.

Icke
 
Zuletzt bearbeitet: