Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Apple XProtect erkennt neuen iWorm-Schädling

Das mit OS X Snow Leopard eingeführte Schutzsystem XProtect wurde von Apple aktualisiert, um Systeme gegen den neuen iWorm-Schädling zu schützen. Durch die aktualisierten Erkennungsmerkmale ist es für die iWorm-Angreifer nicht mehr möglich, eine entsprechende Hintertür einzuschleusen, um die Kontrolle über System und Daten zu erlangen. Laut den Sicherheitsforschern von Dr.Web hat der Schädling bereits 18.500 Macs befallen, wobei unklar ist, wie die Verbreitung genau stattfand.

Die Kontrolle der Macs erfolgte offenbar über getarnte Minecraft-Beiträge des News-Netzwerks Reddit. Nach Aufdeckung des Schädlings wurden auf Reddit entsprechende Gegenmaßnahmen eingeleitet, um eine Kontrolle der Macs zu vereiteln. Ein Großteil des Bot-Netzes steht dadurch zwar nicht mehr unter direkter Kontrolle der Angreifer, allerdings kann iWorm neuen Schadcode nachladen und sich damit theoretisch weiterentwickeln und erneut weltweit ausbreiten.

Ob man infiziert ist, lässt sich relativ leicht erkennen. Dazu muss der folgende Pfad zunächst in die Zwischenablage kopiert werden.
/Library/Application Support/JavaW
Anschließend im Finder ++G drücken, den Pfad einfügen und "Öffnen" klicken. Gelangt man zu dem Ordner, ist der Mac befallen und man benötigt eine Anti-Viren-Software wie Bitdefender oder Dr.Web Antivirus.

Länder mit den meisten Infektionen

Weiterführende Links:

Kommentare

MetallSnake
MetallSnake06.10.14 08:58
Der Artikel klingt so als wäre der iWorm jedem bekannt, aber ich hör grad zum ersten mal davon. Kann mal jemand den News Teil der Seite übernehmen und sagen was los ist?
Das Schöne an der KI ist, dass wir endlich einen Weg gefunden haben, wie die Wirtschaft weiter wachsen kann, nachdem sie jeden Einzelnen von uns getötet hat.
0
g-kar06.10.14 09:01
Interessant finde ich, dass ich bis heute noch gar nichts von iWorm gehört hatte.
Bei der Formulierung des Artikels warte ich nun nur noch auf die ersten Stimmen, die wieder die „Sicherheitslücke Java“ anprangern, ohne mitzubekommen, dass dieser Schädling gar nichts mit Java zu tun hat, sondern sich nur als Java-Installation zu tarnen versucht
0
berkyl06.10.14 09:14
Gemäss mehreren Quellen reicht das integrierte XProtect um den Wurm wieder zu entfernen.
0
Gaugo06.10.14 09:19
Wer mehr darüber wissen möchte und Englisch lesen kann, sollte mal zu www.thesafemac.com gehen. Dort gibt es eine Analyse des Schädlings.
0
SchaubFD06.10.14 09:20
Mich würden zwei Dinge interessieren:

1) Kommt dieser Backdoor automatisch auf den Mac?
2) Waren diese Benutzer kein Administrator?

Im letzteren Fall sollte so etwas beim Mac garnicht möglich sein!?
0
sierkb06.10.14 09:26
Weitere Details & Analysen dazu:

Dr.Web (Sep 29, 2014): The Mac.BackDoor.iWorm threat in detail
http://news.drweb.com/show/?i=5977&c=5&lng=en&p=0

The Safe Mac (02.10.2014): Dr. Web announces new “iWorm” malware
The Safe Mac, 02.10.2014
[…]

At this time, there are no XProtect updates that will prevent installation of this malware. In fact, because we still don’t really know how it gets installed, XProtect may or may not be able to protect against it anyway.

Updates

October 4, 2014 @ 7:37 am EST: An anonymous tip I received this morning revealed how the malware is getting installed – through illegal downloads from PirateBay. See iWorm method of infection found!.

The Safe Mac (04.10.2014): iWorm method of infection found!

The Safe Mac, 04.10.2014
[…]

The moral of the story? Never engage in software piracy. This single piece of malware is FAR from the only thing you can get infected with while installing stolen software. Torrents and sites like PirateBay should be avoided at all costs. If you cannot afford to pay for a piece of software or a movie or something similar, do without. Downloading such things for free often come with LOTS of strings attached.

I am also submitting this to Apple’s product security team… hopefully we will see an update to XProtect shortly.

Updates

October 5, 2014 @ 7:48 am EST: I woke up this morning to find that Apple had released an XProtect update overnight. It now includes definitions for iWorm.A, iWorm.B and iWorm.C. The iWorm.A hash matches the “install” executable file in my sample, and testing shows that my sample will no longer install on a system with up-to-date XProtect definitions. I don’t know what the other two definitions match yet.

Also, I received further information from my anonymous tipster that this malware won’t install if the folder /Library/Little Snitch/ is present (ie, if Little Snitch is installed). However, I wasn’t able to verify this in testing… the malware installed just fine with Little Snitch installed. This may be a behavior exhibited by some variants of this malware, but not others. Or there could have been something uniquely different about my testing and his testing that caused the variation in behavior.

October 5, 2014 @ 1:41 pm EST: A clarification… the malware still gets installed with Little Snitch installed, but it will apparently bail out immediately when it runs.

Clamav/ClamXav erkennt den Schädling seit dem 03.10. als Osx.Worm.iworm bzw. als Osx.Worm.iworm.plist
0
Megaseppl06.10.14 09:30
SchaubFD
1) Kommt dieser Backdoor automatisch auf den Mac?
2) Waren diese Benutzer kein Administrator?
1. Nein. Sie wurden manuell installiert.
2. Doch, der Installer erfordert zum Einen das manuelle Umgehen des Gatekeepers sowie ein Admin-Passwort damit es sich in /Library einnisten kann.

"It’s just a trojan in the form of pirated software that has been modified.

The moral of the story? Never engage in software piracy. This single piece of malware is FAR from the only thing you can get infected with while installing stolen software. Torrents and sites like PirateBay should be avoided at all costs. If you cannot afford to pay for a piece of software or a movie or something similar, do without. Downloading such things for free often come with LOTS of strings attached.
"

Alles in allem also ein Trojaner wie es ihn immer geben wird so lange Software aus anderen Quellen als dem App-Store auf einem Mac installiert werden kann. Und dass sich letzteres ändert, hoffe ich nicht.
0
SchaubFD06.10.14 09:40
OK Megaseppl, dann sind solche Anwender auch selbst daran Schuld.

Nebenbei, ich nutze für den Admin einen eigenen Account, der nicht "admin" oder "root" heißt und mein normaler Benutzername ist auch nicht nur der Vorname. Die Kennwörter sind alle kryptisch.
0
zornzorro06.10.14 09:56
Immer wieder die gleiche leicht durchschaubare PR-Nummer:

Eine Firma, die ganz zufällig auch noch eine ach-so-tolle-Antivirensoftware vertreibt, macht auf ein an den Haaren herbeigezogenes Schreckensszenario aufmerksam, tzzzz.
0
sierkb06.10.14 10:40
zornzorro
Immer wieder die gleiche leicht durchschaubare PR-Nummer

Eine Firma, die ganz zufällig auch noch eine ach-so-tolle-Antivirensoftware vertreibt, macht auf ein an den Haaren herbeigezogenes Schreckensszenario aufmerksam, tzzzz.

Immer wieder die gleichen blöden und dummen Verschwörungstheorien derer, die die Wirklichkeit immer noch nicht wahrhaben wollen. Blöd nur, dass es hier mehrere Unabhängige gibt mit durchaus sehr verschiedener und sogar entgegengesetzter Interessenlage, die das Gleiche gesehen und analysiert haben und zum gleichen Schluss kommen und blöd nur, dass Apple darauf sogar reagiert und genau dasselbe macht wie diejenigen, die hier grad' gescholten werden: die Schilde hoch und Abwehrmechanismen aktiviert. Gehört Apple nun auch zu denjenigen, die hier einen PR-Stunt machen, um eine kostenbewehrte AV-Lösung (kostenlose gibt es ja so überhaupt nicht, nein…) zu verteiben? Oder warum hat Apple grad' seine XProtect-Signaturen aktualisiert und um eine entsprechende Signatur bereichert?

*kopfschüttel*
0
Hannes Gnad
Hannes Gnad06.10.14 12:02
Eher wird aus derartigen Fällen ersichtlich, warum Apple seine App Stores absichert:
Genau solche Installer wollen sie auf jeden Fall vermeiden bzw. nicht haben.
0
dom_beta06.10.14 12:10
sierkb
The moral of the story? Never engage in software piracy. This single piece of malware is FAR from the only thing you can get infected with while installing stolen software. Torrents and sites like PirateBay should be avoided at all costs

Also, illegale Software lade ich eh nicht; aber weswegen soll man auf Torrent generell verzichten?
...
0
sierkb06.10.14 12:30
dom_beta
Also, illegale Software lade ich eh nicht; aber weswegen soll man auf Torrent generell verzichten?

Nein. Ist da wohl etwas zu verkürzt und missverständlich ausgedrückt. Die Kombination beider ist da wohl gemeint, also die Kombination illegaler Software in Form von Torrents. Wie man sie eben z.B. haufenweise auf The PiratBay angeboten bekommt. Legale Torrents, angeboten bei vertrauenswürdigeren Quellen, sind mit der Äußerung sicher nicht gemeint. LibreOffice zum Beispiel kann ganz offiziell und legal von der offiziellen LibreOffice Download-Seite alternativ heruntergeladen werden, der offizielle Torrent-Download ist entsprechend verlinkt. Das LibreOffice-Projekt freut sich sogar drüber, weil auf diese Weise deren Download-Server entlastet werden. Andere Open-Source-Projekte machen es teilweise ähnlich, um den auftretenden Traffic besser zu verteilen.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.