Trojaner Flashback.K nutzt Java-Lücke in Mac OS X

Marc Freudenhammer · 03.04.12

Der Mac-Trojaner mit dem Namen Flashback ist schon wieder in einer neuen Variante aufgespürt worden, das berichten die Sicherheitsexperten von F-Secure in einem Blog-Eintrag. Laut dem aktuellen Stand der Dinge nutzt Flashback.K eine Sicherheitslücke in Java aus und benötigt keine Eingabe des Admin-Passwortes um aktiv zu werden. Diese bekannte Lücke ist eigentlich bereits im Februar von Oracle geschlossen worden, auf Rechnern mit Mac OS X ist sie allerdings noch vorhanden, da Apple die aktuellste Java-Version 1.6 Update 31 bis heute noch nicht ausgeliefert hat.[PRBREAK][/PRBREAK]

Die beste Möglichkeit um dem Trojaner aus dem Weg zu gehen, besteht vorerst darin, in den Systemeinstellungen des Browsers Java komplett zu deaktivieren und nur nach Bedarf zu nutzen. Java kann auch direkt über die Java-Einstellungen im Ordner Dienstprogramme deaktiviert werden. Wer sich dennoch Sorgen macht, dass sein Mac bereits mit einer Flashback-Variante infiziert ist, der kann ebenfalls bei F-Secure einer ausführlichen Anleitung folgen und die Schadsoftware ausfindig machen.

toi · 03.04.12

Offline-Java-Anwendungen sind aber nicht problematisch, oder?

CharlieBrown · 03.04.12

"Diese bekannte Lücke ist eigentlich bereits im Februar von Oracle geschlossen worden, auf Rechnern mit Mac OS X ist sie allerdings noch vorhanden, da Apple die aktuellste Java-Version 1.6 Update 31 bis heute noch nicht ausgeliefert hat."

Peinlich, peinlich...

DubiDuh · 03.04.12

@CharlieBrown: Nein, eine FRECHHEIT ist das! Zudem ärgere ich mich zur Zeit mit einem Java-Bug rum, der auch in der neuesten Version gefixed wurde. Zum kotzen!

Gelöschtes Mitglied 115674 · 03.04.12

Verstehe ich das richtig? Der Trojaner muss nicht mal vom Nutzer selbst installiert werden, oder wie?
Geht aus dem Artikel irgendwie nicht hervor.

Edit: Hmm. Und plötzlich ist das Update verfügbar o_O

thghh · 03.04.12

Update nun verfügbar:

Das Java für OS X 2012-001-Update 1 erhöht die Kompatibilität, Sicherheit und Verlässlichkeit durch die Aktualisierung von Java SE 6 auf 1.6.0_31.

amb · 03.04.12

ist gerade installiert worden!

Danke!

Waldbär · 04.04.12

Jawoll, da ist es das Update, sehr schön. Also merke: Brauchst du dringend das aktuelle Java-Update, programmiere eine Malware, die eine Lücke der Vorgängerversion nutzt. Dann kommt selbst Apple in die Gänge.

Mitglied 41958 · 04.04.12

Hab schon Erfahrung mit dem Virus gemacht. Hat sich als Opera-Update getarnt und mir war natürlich sofort bewusst, dass Opera nicht mehr über eine Datei updatet, sondern man ja normalerweise direkt im Browser oder über den MAS updatet. Habe den Trojaner dann in den Papierkorb verschoben und seinen Prozess beendet. Das entfernen ist dann halt immer noch leichter als auf Windows.

Taliesin · 04.04.12

Gibt es die Schritt für Schritt Anleitung, die hinter dem Link oben steckt auch auf deutsch? Mein Englisch ist leider nicht gut genug, um die obige Anleitung hinreichend zu verstehen

pcpanik · 04.04.12

Wie kann man in diesem Fall eine Infektion erkennen? Der einfachste Weg ist die DYLD_INSERT_LIBRARIES Umgebungsvariable des Brwosers zu überprüfen. Du kannst dazu die folgende Kommandozeile im Terminal benutzen:

• defaults read /Applications/%browser%.app/Contents/Info LSEnvironment

Im oberen Beispiel ist der Firefox Browser sauber. Wäre er infiziert, sähe man etwas in der Art wie dies hier::

Beachte den Wert von DYLD_INSERT_LIBRARIES in der roten Box. Wir benötigen dies um die Hauptkomponente zu finden, denn hier handelt es sich nur um die Filterkomponente:

• grep -a -o '__ldpath__[ -~]*' %path_from_previous_step%

Beachte die in der roten Box markierten Dateien, dies sind die Flashback/Rückverfolgenden Dateien. Ich glaube, die meisten User haben aber keine DYLD_INSERT_LIBRARIES Umgebungsvariable.

Bekommst Du bei der Abfrage kein Ergebnis, bedeutet dies, die bei Dir vorhandene Variante benutzt keine Filterkomponenten .

Als nächstes solltest Du die DYLD_INSERT_LIBRARIES Umgebungsvariable der User überprüfen, dies wäre dann die zweite Variante (anm.: des Schädlings).

• defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

Erhälst Du kein Ergebnis, bedeutet es, dass Du nicht diese Art von Infektion (anm. auf dem System) hast.

Du kannst dieses Kommando erneut nutzen um die Hauptkomponente zu finden, wenn Du die Filterkomponente hast:

• grep -a -o ' __ldpath__[ -~]*' %path_from_previous_step%

Und was mache ich mit diesen Ergebnissen? Sende sie zu uns.Sendest Du uns Deine Ergebnisse, hilfst Du der Gemeinschaft und wir können uns mit anderen AV-Herstellern austauschen

Wenn Du das System bereinigest, stelle sicher, dass Du auch die DYLD_INSERT_LIBRARIES Umgebungsvariable entfernst. Andernfalls kann es passieren, dass der Browser, oder schlimmer, Dein Account nicht mehr startet.

Benutze diese für die erste Art der Infektion:

• sudo defaults delete /Applications/%browser%.app/Contents/Info LSEnvironment
• sudo chmod 644 /Applications/%browser%.app/Contents/Info.plist

Benutze dies für die zweite Art der Infektion:

• defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
• launchctl unsetenv DYLD_INSERT_LIBRARIES

Besuche uns unter Trojan-Downloader:OSX/Flashback.I description für weitere Informationen über eine kürzlich entdeckte Variante.

Grüße,
Brod

##########################################

Ohne Gewähr, Gruß, pcpanik

Suche

Suche

Trojaner Flashback.K nutzt Java-Lücke in Mac OS X

Marc Freudenhammer

Horneburger Pfannkuchenapfel

toi

Fießers Erstling

CharlieBrown

Echter Boikenapfel

DubiDuh

Zwiebelapfel

Gelöschtes Mitglied 115674

Gast

thghh

Meraner

amb

Kaiser Wilhelm

Waldbär

Ontario

Mitglied 41958

Gast

Taliesin

Süssreinette (Aargauer Herrenapfel)

pcpanik

Celler Dickstiel

Anhänge

Wir schützen Ihre Privatsphäre

Informationen auf einem Gerät speichern und/oder abrufen

Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen (Optionale Cookies)

Datenübermittlung an Partner in anderen Staaten (Drittanbieter-Cookies)