Trojaner auf dem Mac

[Mac Patric]

Laut Spiegel-Online gibt es einen Trojaner für den Mac.
Die sorglose Zeit sei vorbei.
Ok, das Schadprogramm installiert sich mit einer illegalen Kopie von iWork'09, selbst schuld,
aber ist dies nicht der Anfang.
Muß ich jetzt den gleichen Aufwand betreiben wie bei Win?

Hier der Link: http://www.spiegel.de/netzwelt/tech/0,1518,602946,00.html

 

[DesignerGay]

Solange du keine fragwürdigen Quellen benutzt um an Programme zu kommen, sehe ich da kein Problem.

 

[awk]

Der Schadcode ist auch schon früher zum Einsatz gekommen, das ist nichts neues.
Solange man auf die Integrität von Websites/Programmen/Daten aufpasst, gibt es kein Problem (unter Win übrigens ebenfalls nicht, aber das will der 0815-Nutzer nicht wahrhaben).

EDIT

Weils mir gerade einfällt:
"Experten" haben im Zuge einer "Studie" übrigens ermittelt, dass Viren, Würmer, Trojaner, etc. ab 2013 zu einem Problem für Mac OS X werden.

 

[Mac Patric]

Ich weis jetzt nicht ob ich ein 0815 User bin, aber bei meiner letzten Win - Version (98 er) fand ich den Aufwand bzw. die Ressourcen die der PC für die Virensoftware benötigte nicht unerheblich.

 

[DesignerGay]

Weils mir gerade einfällt:
"Experten" haben im Zuge einer "Studie" übrigens ermittelt, dass Viren, Würmer, Trojaner, etc. ab 2013 zu einem Problem für Mac OS X werden.

Und wo ist das Problem? Am 21.12.2012 geht eh das Licht aus.

 

[DesignerGay]

Ich weis jetzt nicht ob ich ein 0815 User bin, aber bei meiner letzten Win - Version (98 er) fand ich den Aufwand bzw. die Ressourcen die der PC für die Virensoftware benötigte nicht unerheblich.

Ich will dir mal einen Besuch auf www.macmark.de empfehlen, da ist alles schön beschrieben.

 

[Vividarium]

Ich weis jetzt nicht ob ich ein 0815 User bin, aber bei meiner letzten Win - Version (98 er) fand ich den Aufwand bzw. die Ressourcen die der PC für die Virensoftware benötigte nicht unerheblich.

Darum gehts doch gerade, wenn man aufpasst auf welche Seiten man geht und was man runterläd, braucht man eigentlich gar keine Anti-Viren Software, weil diese eben unnützerweise das System stark ausbremst. Habe zu Win-Zeiten auch nur selten solche Software benutzt, Kosten-Nutzen standen da in keinem Verhältnis (und ich rede nicht von Geld.)

Sollte man sich trotzdem mal was einfangen, kommt Windows eben nochmal neu rauf...wird eh alle paar Monate mal Zeit

 

[DaFeeT]

Und wo ist das Problem? Am 21.12.2012 geht eh das Licht aus.

Da soll doch eine große Flut kommen, die alles zerstört oder? Vielleicht ist mit der Flut ja eine Virenflut gemeint, die alle Macs zerstört, was ja einem Weltuntergang gleichgültig ist. :-c

 

[awk]

Ich weis jetzt nicht ob ich ein 0815 User bin, aber bei meiner letzten Win - Version (98 er) fand ich den Aufwand bzw. die Ressourcen die der PC für die Virensoftware benötigte nicht unerheblich.

Das ist der springende Punkt - ja lt. meiner Definition bist du ein 0815 User, da du Antivirensoftware verwendest.
Ich habe mich vor ein paar Tagen schon mal zu der Problematik Antivirensoftware geäußerst. Sofern man die Grenzen/Problem kennt ist Antivirensoftware für 0815 User sehr sinnvoll!
Für User die sich mit Windows Internas auskennen und die einige Grundregeln einhalten ist Antivirensoftware unnötig, ja sogar störend.

0815-User ist wirklich nicht abwertend gemeint, aber lass mir ein kleines Experiment: du hast einen Virenscan deiner internen HD von der internen HD aus gemacht, d.h. nicht von einer externen, oder?

 

[awk]

@Vividarium: deine Aussage müsste man noch um ein Paar Regeln bzw. Win-Einstellungen ergänzen, dann würde ich sie unterschreiben.

 

[awk]

Und wo ist das Problem? Am 21.12.2012 geht eh das Licht aus.

Ja eben, darauf wollte ich ja hinaus. Da sieht man wie seriös die Studie ist, die Voraussagen für 2013 macht.

 

[Mac Patric]

Nee, ich habe auf meinem Mac keine Antivirensoftware, da ich nicht viel davon halte.
Damals auf dem PC hatte ich Norton, da mir dies jeder im Bekanntenkreis empfohlen hatte und habe immer das gemacht, was das Programm empfohlen hatte.

 

[DesignerGay]

Hier noch ein interessanter Link für dich.

architektenwerk und Vieren/Trojaner

 

[DesignerGay]

Zitat Architektenwerk:

Die Firma Intego, Hersteller von Antivirus-Software für den Mac, warnt vor einem so genannten "Trojaner" für MacOS X, den sie als "the first Trojan horse that affects Mac OS X" einstufen. Es handelt sich hierbei um einen Proof-Of-Concept, d.h. eine (harmlose) Demonstration. Alle möglichen Schäden, die Intego in der Pressemitteilung erwähnt, sind (derzeit) lediglich theoretischer Natur und werden von dieser Trojaner-Demo nicht verursacht

Die Demo wurde von Bo Lindbergh in einem Newsgroup-Posting veröffentlicht und funktioniert folgendermassen: Es handelt sich um ein Programm, das im Finder wie eine MP3-Datei angezeigt wird. Und tatsächlich enthält es auch MP3-Daten, so dass es bei einem Doppelklick in iTunes abgespielt wird. Gleichzeitig wird aber eben auch das Programm gestartet. Die Demo zeigt also, dass man unaufmerksame User dazu bringen kann, ein Programm auszuführen, während sie glauben, es mit einer harmlosen MP3-Datei zu tun zu haben. Wie man in dem Screenshot sieht, wird die Datei, trotz MP3-Icon, vom Finder aber korrekt als Programm erkannt und auch als solches angezeigt.
Bei der Demo handelt es sich um ein Carbon-Programm und darauf beruht auch die ganze Täuschung. Während sich nämlich der Programmcode in der Resource-Fork versteckt, enthält die Daten-Fork die MP3-Daten. Das schränkt (glücklicherweise) auch die Chancen auf Verbreitung eines so aufgebauten Trojaners ein, denn die Resource-Fork würde bei einem Download aus dem Internet verloren gehen - das Programm muss immer gepackt (als StuffIt-Archiv) oder entsprechend kodiert (als Binhex-Datei) werden. Der Trick kann mit MacOS X-nativen Programmen (Cocoa-Applikationen) so nicht wiederholt werden.

 

[yoshi007]

Ein Trojaner, der sich mal verirrt hat...tzz...zähl mal die Trojaner für Windows!

 

[DesignerGay]

@ yoshi, es langt schon ein Trojaner

 

[Chefkoch2904]

Würde das Ding nach einer deinstallation von iWork weg sein?
Sorry, für die äußerst dumme Frage

 

[awk]

Nein.

This malicious piece of code could create startup entry and copy itself as /usr/bin/iWorkServices.

EDIT

Ich habe mir einmal die Funktionsweise näher angesehen: Worüber niemand schreibt (und das ist ein sehr wichtiger Punkt): Mit einem normalen Useraccount werden viele "Funktionen" des Trojaners unwirksam, sprich wirkliche Gefahr besteht nur im Adminkonto.

Es tut mir leid, aber wer im Jahr 2008 ständig als Admin arbeitet ist sowieso selbst Schuld. Ich denke die Bedeutung von Userkonten wurde schon sehr oft erwähnt.

 

[Steffen.]

Hab grad das hier gefunden um ihn zu entfernen. Dürfte für die betroffenen Interessant sein.
Auch wenn sich da keiner äußern wird

1) Terminal öffnen
2) sudo su (PW eingeben)
3) rm -r /System/Library/StartupItems/iWorkServices
4) rm /private/tmp/.iWorkServices
5) rm /usr/bin/iWorkServices
6) rm -r /Library/Receipts/iWorkServices.pkg
7) killall -9 iWorkServices

 

[awk]

Ich möchte anmerken, dass die Lösung möglicherweise nicht effektiv ist.
Sie beruht auf dem jetzigem Wissensstand über die Funktionsweise des Trojaners, er ist allerdings noch nicht vollständig "erforscht" (), sodass es (derzeit) keine Garantie für eine vollständige Entfernung gibt.

Wer sich den Wurm eingefangen hat, sollte daher umbedingt neu aufsetzen. (und wenn über iWork, dann sich schämen, aber das ist eine andere Geschichte)