Neuer Trojaner für OS X? bzw fast Virus?

[MatzeLoCal]

Ich hab mir das Ding mal von aussen grob angesehen, nachdem ich jetzt gerade keinen Quarantäte-Testrechner zur Hand habe.

1. Wenn man die Datei auspackt, dann zeigt sich in der Info, daß es sich um ein Unix-executeable handelt. Die Spaltendarstellung ist also schonmal vorteilhaft. Wer in der Listendarstellung die "Art" Spalte aktiviert hat, sollte ebenfalls stutzig werden. Lediglich Icon Liebhaber müssen einmal I drücken um zu sehen, daß es ein Programm ist.

99% der User entpacken ihren Kram auf den Desktop via Doppelklick... und 0.5% der User drücken vorher +I
Und zeige mir bitte EINEN NormalUser, der sich in die Dateiart in der Info-Spalte anschaut, wenn das Icon ihm wunderbar erzählt, dass es sich um ein JPG oder was auch immer handelt... und wenn er es doch tut, dann denkt er sich viel mehr, dass da ein Fehler im OS X vorliegt, als dass da was mit der Datei nicht stimmt.

2. Wer genau schaut sieht, daß der ursprüngliche Poster auf MacRumors genau ein einziges Posting gemacht hat. Also nicht unbedingt die vertrauenswürdigste Person. (Auch unter der Annahme, daß jemand der tatsächlich solche Bilder hat natürlich bemüht sein wird seine Spuren möglichst zu verwischen.)

Der normale Apple-User ist geil auf Gerüchte (gehört wohl zu unserer Kultur!) und schon ganz und gar die, die sich auf MacRumors rumtreiben.

Wenn Du denen nur ansatzweise den kleinen Finger für eine Vorschau auf 10.5 gibst, dann reissen die dir doch den ganzen Arm aus... und Du glaubst ernsthaft, die kümmert es, wenn da einer nur einen Post hat?

Desweiteren verteilt sich das Teil über iChat! Also du kriegst von deinem Bekannten das File!!!

3. Wenn man genau hinschaut (zB mit file den Datentyp erfragt) bekommt ein sehr eindeutiges "latestpics: Mach-O executable ppc" zu sehen. Damit ist klar, der rennt in Rosetta. Die Performance dürfte also nicht berauschend sein. *tschuldigung*

Rosetta auf nem PPC?????
Und *hallo?* welcher User guckt sich eine Datei mit file an???? Und jetzt behaupte bloss nicht, dass Du das mit jeder Datei tust!

4. Wer so ein File ungeschaut einfach doppelklickt...

Siehe oben... und unten auch noch was dazu!

5. Die einzige Sicherheitslücke die hier ausgenutzt wird ist die Dummheit oder Unachtsamkeit des Users. (Leider kann man die in den meisten Fällen nicht patchen.)

Fast richtig. Denn wenn eine ausführbare Datei, das "aussehen" eines JPEGs hat, dann passt das was nicht. Wir hatten das ganze schonmal.. mit diesem MP3-Rootkit.

Es kann jedenfalls nicht sein, dass OS X einem vorgauckelt, dass mensch ein JPG/MPG/MP3/WASAUCHIMMER - vor sich hat und in Wirklichkeit ist es was völlig anderes.

Wenn Du zwei verschiedene Auskünfte hast, welche ist dann für dich die richtige? Und die erste Auskunft erhälst du "einfach so" und um an die zweite zu kommen, musst Du explizit wohin gehen und danach fragen.

Verstehe das letzte bitte losgelöst von dem Trojaner-Fall ...

6. Daß wir unter Mac OS X irgendwann unsere Viren- & Trojanerfreie Jungfräulichkeit verlieren würden war klar. Jetzt wissen wir auch, wann es passiert ist.

Richtig

7. Wem es nicht seltsam vorkommt, daß beim Öffnen eines vermeintlichen Bildes ein Terminal aufgeht, hat zwar schon (dummer User) draufgeklickt, aber kann wenigstens noch wen zu Rate ziehen der das genauer ansieht.

Normaluser wundert sich nur kurz und arbeitet weiter...

Fazit: Wer aufpaßt ist klar im Vorteil

Richtig

Keine Panik

Siehe anderes Posting von mir



So und nun noch etwas allgemeines (und das basiert auf einem Mail von Scot Hacker in eine Maillist):
Der durchschnittliche OS X-User doppelklickt sehr wohl unbedacht eine x-beliebige Datei und öffnet unbedacht x-beliebige Anhänge, denn er lebt ja die ganze Zeit in der Scheinwelt, dass OS X super sicher sei und nur unter Windows solch böse Sachen passieren können. Es ist sogar so, dass sich viele bei unbedachten Öffnen von unbekannten Sachen sich (innerlich) über Windows-User und deren Sicherheitsprobleme lustig gemacht haben.

Und, nur so nebenbei, scheinbar war der Programmierer des Teils etwas zu "unbegabt", denn der Versuch, dass sich das Teil auch via Adressbook per Mail verschickt wurde wohl deshalb nicht gemacht, weil er es nicht auf die Reiche gekriegt hat. Und die "korrekte" Manipulation von .app-Dateien klappte nur wegen eines Bugs nicht.

Jedenfalls ist zumindest in dieser Beziehung das Zuckerschnutenland für OS X abgebrannt.

 

[Steckepferd]

So, wir zählen jetzt mal wieviele Leute dazu noch einen thread eröffnen. Auch noch in der gleichen Sparte. Na na na

Bist der dritte oder so. Lies mal die Themen in "Usernews" durch, dann fällt es Dir sofort auf.

 

[saarmac]

Sei nicht so hart mit dem, die Moderatoren müssen ja auch was zu tun haben. aber man sollte schon manchmal die Suche Funktion nutzen

 

[MASH]

wenn man nicht gerade einen 3" Bildschirm hat, müsste man es beim tread öffnen eigentlich gleich sehen...:-D

 

[Steckepferd]

DAs war doch nicht hart. Habe ja auch noch ein Smiley hingesetzt.

Nee, das kann ja mal passieren.... Ist nur die Frage was wir jetzt aus dem thread hier machen.

Ich nutze ihn Mal um Dir Grüße ins Saarland zu schicken, wo ich einen Teil meines Wehrdienstes abgeleistet habe und dessen Sprache mir ans Herz gewachsen ist.

 

[ametzelchen]

Vielleicht macht es ja Sinn, hier darauf hinzuweisen, dass weitere Diskussionen hier http://www.apfeltalk.de/forum/neuer-trojaner-fuer-t31749.html gepostet werden sollten.
Eventuell können die Admins ja auch diesen Thread http://www.apfeltalk.de/forum/erster-virus-fuer-t31792.html? gleich dazuschieben.
Damit dürften sich dann auch weitere Diskussionen über die Suchfunktion hier erübrigen?
Have a nice day.....

 

[marcozingel]

Da können wir doch alle beruhigt sein oder doch nicht,denn Apple nimmt ja selbst Stellung dazu.
Gefunden bei www.mactechnews.de

"Leap-A is not a virus, it is malicious software that requires a user to download the application and execute the resulting file. Apple always advises Macintosh users to only accept files from vendors and Web sites that they know and trust. We have a guide to safely handling files received from the Internet at http://docs.info.apple.com/article.html?artnum=108009."

Der Trojaner "Leap/A" hat allerdings keine Sicherheitslücke aufgezeigt, über die Mac OS X ohne die Interaktion des Benutzers verwundbar wäre. "Leap/A" muss von dem Benutzer entpackt und gestartet werden, um Code ausführen zu können. Daher dürfte sich die Verbreitung in Grenzen halten. Trotzdem ist damit zu rechnen, dass je beliebter das Mac OS wird immer mehr solcher Vorfälle passieren werden.

 

[pepi]

Und zeige mir bitte EINEN NormalUser, der sich in die Dateiart in der Info-Spalte anschaut, wenn das Icon ihm wunderbar erzählt, dass es sich um ein JPG oder was auch immer handelt... und wenn er es doch tut, dann denkt er sich viel mehr, dass da ein Fehler im OS X vorliegt, als dass da was mit der Datei nicht stimmt.

Ich erziehe "meine User" in diese Richtung und da sind auch viele "Doppelklicker" dabei. Diese Erziehung wirkt und Du kannst Dir bei mir gerne diese User ansehen. Ich habe nicht gesagt, daß es einfach ist die Leute darauf zu konditionieren.

Desweiteren verteilt sich das Teil über iChat! Also du kriegst von deinem Bekannten das File!

Vom Standpunkt des betriebenen "Social Engeneering" gebe ich Dir recht, aber auch dann sehe ich in der FileInfo, daß dort eindeutig "Programm" steht.

Rosetta auf nem PPC?

Hab' ich etwas von PPC gesagt? Ich müßte mein Posting allerdings korrekterweise ändern auf: "Das Ding würde auf einem intel-Mac unter Rosetta gestartet werden."

Und *hallo?* welcher User guckt sich eine Datei mit file an???? Und jetzt behaupte bloss nicht, dass Du das mit jeder Datei tust!

Nicht mit jeder Datei, aber mit jeder bei der mir auch nur ansatzweise etwas komisch vorkommt. (zB wie hier Programminfo vs. Icon) Wenn man hie und da eine Datei aus "ungesicherten Kreisen" bekommt wird man sehr schnell sehr vorsichtig.

Fast richtig. Denn wenn eine ausführbare Datei, das "aussehen" eines JPEGs hat, dann passt das was nicht. Wir hatten das ganze schonmal.. mit diesem MP3-Rootkit.

Es kann jedenfalls nicht sein, dass OS X einem vorgauckelt, dass mensch ein JPG/MPG/MP3/WASAUCHIMMER - vor sich hat und in Wirklichkeit ist es was völlig anderes.

Mac OS X gaukelt Dir hier garnichts vor! Es handelt sich um eine Datei vom Typ Programm die mit einem Custom Icon versehen wurde. Das ist etwas ganz normales. Fast jeder von uns hat schonmal einen Ordner mit einem eigenen Icon versehen oder? Die Person die dieses kleine gemeine Ding geschaffen hat, hat das eben mit einem Programm getan. Du hast kein JPG/MPG/MP3/WASAUCHIMMER vor Dir sondern ein Programm, und das steht auch in der Info so korrekt drinnen. Die Schwachstelle ist und bleibt der User. Es ist definitiv kein Bug, Fehler, Irrtum, Blendwerk sondern ganz normal genutze Funktionalität des Systems. (Ich möchte nicht wissen was passiert wenn man den Usern die Möglichkeit nimmt Custom Icons zu verwenden, auch wenn das in diesem Einzelfall prakisch wäre.)

Die Spaltendarstellung der Fileinfo:

Wie schon erwähnt, es ist nicht mehr als ein Programm mit einem Custom Icon.

Gruß Pepi

 

[marcozingel]

www.maclife.de kommentiert dazu folgendes:

 

[thrillseeker]

ein möglicher workaround? [upd.]

Zur Info, das Teil installiert "apphook.bundle" in /Library/InputManager bzw ~/Library/InputManager und kann darüber JEDES laufende Programm beeinflussen!

• der Trojaner versagt, wenn der User kein Admin ist

Bedeutet das, dass der Trojaner ebenfalls versagt, wenn ich Benutzer und Zugriffsrechte der beiden Ordner "InputManager" entsprechend ändere (z.B. auf Benutzer: System / Gruppe: admin wheel / Rechte: ug=rwx,o=rx) und somit zum Ändern des Ordners immer ein admin-Passwort nötig ist?

 

[Gunnar]

Es ließen sich doch in Vergangenheit doch immer Scripts schreiben, die schädliche Befehle ausführen konnten. Man darf halt nur nicht alles runterladen was einem vor die Füße fällt und auch nicht gleich ausführen.

Computer sind von jeher immer gefährdet. Mit jedem Betriebsystem kann man böse Spielchen treiben wenn man nur will. Auch MacOS ist davor nicht gefeit. Man sollte also nicht die rosarote Brille aufhaben.

Vorsicht ist angesagt.

Onkel Heise schreibt auch dazu

Als zusätzliche Maßnahme kann man durch geschickte Rechtevergabe verhindern, dass sich der Virus im Verzeichnis /InputManager festsetzen kann:
Legen Sie, falls noch nicht vorhanden, mit dem Programm Terminal das Verzeichnis /Library/InputManagers mit
sudo mkdir /Library/InputManagers
an. Übereignen Sie es mit
sudo chown root:wheel /Library/InputManagers
dem Super-User root und seiner Gruppe wheel. Mit
sudo chmod go-w /Library/InputManagers
stellen Sie sicher, dass nur root etwas hineinschreiben darf. Analog verfahren Sie mit ~/Library/InputManagers. Diese Änderungen beinträchtigen die Funktion bereits vorhandener InputManager nicht. Für diese Vorgehensweise müssen Sie als Administrator angemeldet sein, sudo verlangt außerdem nach einem gültigen Kennwort.

Gruss
Gunnar

 

[thrillseeker]

Na, da lag ich ja garnicht so sehr daneben Habe die Gruppe in meinem Beitrag oben gleich noch geändert.

 

[MatzeLoCal]

Vom Standpunkt des betriebenen "Social Engeneering" gebe ich Dir recht, aber auch dann sehe ich in der FileInfo, daß dort eindeutig "Programm" steht.

Es kommt Dir so daher wie im Anhang zu sehen. Da steht null und garnix von executable... so dumm war der progger auch nicht..... sprich das ist der grund warum es als tgz daher kommt! (Das Bild ist übrigens nicht von mir).

Und was nun der default-Ablauf wäre nun so (wieder abgekoppelt vom Trojaner-Fall, sondern bei ganz normaler File-Empfang via iChat):

- User lädt sich die Datei, die auf dem Desktop gespeichert wird.
- User doppeltklickt das auf dem Destop liegende Archivfile
- Vom Finder wird die entpackte Datei auf den Desktop gelegt
(Auf dem Desktop liegen nun die ArchivDatei.zip und Entpacktedatei.png)
- Der User will Entpacktedatei.png ansehen und klickt sie deshalb doppelt.

Genauso ist der Ablauf wenn die Standardeinstellungen von iChat verwendet werden. Und da taucht nicht EIN Finderfenster mit Detailansicht auf. Und ich bezweifel das Apfel jemand Apfel+I benutzt um rauszubekommen ob SUPERINTERESSANTESBILD.jpg wirklich ein JPEG ist oder nicht.

Mac OS X gaukelt Dir hier garnichts vor! Es handelt sich um eine Datei vom Typ Programm die mit einem Custom Icon versehen wurde. Das ist etwas ganz normales. Fast jeder von uns hat schonmal einen Ordner mit einem eigenen Icon versehen oder? Die Person die dieses kleine gemeine Ding geschaffen hat, hat das eben mit einem Programm getan. Du hast kein JPG/MPG/MP3/WASAUCHIMMER vor Dir sondern ein Programm, und das steht auch in der Info so korrekt drinnen. Die Schwachstelle ist und bleibt der User. Es ist definitiv kein Bug, Fehler, Irrtum, Blendwerk sondern ganz normal genutze Funktionalität des Systems. (Ich möchte nicht wissen was passiert wenn man den Usern die Möglichkeit nimmt Custom Icons zu verwenden, auch wenn das in diesem Einzelfall prakisch wäre.)

Ok, sieh dir mal den zweiten Anhang an "Desktop.png" ... und nun sage mir, ist Subversion.pdf ein PDF oder eine ausführbare Datei und komm mir jetzt nicht mit "?+I" ... Wenn das ein PDF icon hat, dann gehe ich davon aus, dass das ein PDF ist... Der Trend geht eh dazu, die extensions wegzulassen und gerade dann "vertraut" mensch darauf, was das icon sagt...

 

[bluejay]

...
Und was nun der default-Ablauf wäre nun so (wieder abgekoppelt vom Trojaner-Fall, sondern bei ganz normaler File-Empfang via iChat):

- User lädt sich die Datei, die auf dem Desktop gespeichert wird.
- User doppeltklickt das auf dem Destop liegende Archivfile
- Vom Finder wird die entpackte Datei auf den Desktop gelegt
(Auf dem Desktop liegen nun die ArchivDatei.zip und Entpacktedatei.png)
- Der User will Entpacktedatei.png ansehen und klickt sie deshalb doppelt.

Genauso ist der Ablauf wenn die Standardeinstellungen von iChat verwendet werden.
...

Da muß ich schon mal bei Punkt 1 einhaken. Man empfängt in iChat nicht einfach mal so, völlig unangekündigt und kommentarlos eine Datei und wenn dann muß man sich dazu per Mausklick bereit erklären. Dabei wird mir auch noch angezeigt, von wem die zu empfangende Datei nun eigentlich kommt. Ich habe noch nie per iChat irgendwelche unkommentierten Dateien erhalen und wenn es passieren würde, dann würde ich doch wohl zumindest schon mal stutzig werden.
Zu Punkt 2: Auf meinem Desktop liegen generell keine Dateien (OK, ich mag vielleicht auch nicht der default-User sein, mein erster Klick beim Start in einem neuen Programm geht direkt in die Einstellungen). Also bleibt wieder nur der Weg über den Finder - was ich da sehen kann ist ja schon ausführlich beschrieben worden. Für Punkt 3 gilt also entsprechendes.
Im konkreten Fall sehe ich also (noch) kein allzugroßes Sicherheitsrisiko. Das Risiko ist nur so groß, wie der jeweilige Nutzer es durch sein (mehr oder weniger unbedachtes) Handeln zulassen will.
Prinzipiell gebe ich Dir aber insofern recht, daß in Zukunft noch einiges aus dieser Richtung auf uns zukommen kann und wohl (leider) auch wird. Deshalb sollte man sich nicht in falscher Sicherheit wiegen (wie wir alle das mit ein wenig Stolz und bisher wohl auch zu Recht tun) und schön die Augen offen halten.

 

[MatzeLoCal]

Ich habe auch nicht gesagt, dass mensch unkommentiert die Datei auf den Desktop bekommst. Aber bei vielen ist es so, dass Sie das annehmen was von "bekannten" kommt.. und das ding verschickt sich über die iChat-Buddylist.

 

[ezi0n]

so und da ist der zweite, diesmal aber bluetooth! code sieht gut aus und auch ein wenig durchdachter ... aber schaut selbst: http://www.f-secure.com/v-descs/inqtana_a.shtml

 

[Rastafari]

so und da ist der zweite, diesmal aber bluetooth! code sieht gut aus und auch ein wenig durchdachter ... aber schaut selbst: http://www.f-secure.com/v-descs/inqtana_a.shtml

> ...which user has to accept,....

Ob das nun so durchdacht ist???
Lächerlich. Das soll'n Wurm sein?

"Bitte, Bitte, hier ist ein armes Würmchen. Kopiere mich! Kopiere mich! Danke"...

 

[ezi0n]

mit durchdacht eher das p-o-c mit ablauf der library ... wenn du OBEX Push kennst, ja, denn beim OBEX Push ist accept immer nennt sich security feature

 

[bluejay]

/Users/w0rm-support.tgz
Klar, sowas würde ich auch sofort und ohne zu überlegen doppelklicken :-D.
Übt da jemand irgendwas? Oder wie soll man das jetzt verstehen, daß hier plötzlich fast täglich neuer Mist auftaucht?

 

[ezi0n]

was ich daran durchaus interessant finde, dass bisher kein universal binary gekommen ist .. also lediglich auf ppc platform geschossen wird ...