Mittwoch, 21. März 2012

Anti-Viren-Spezialist Sophos warnt in seinem Blog vor einer neuen Variante des Mac-Trojaner "OSX/Imuler", der sich hinter dem Foto des russischen Models Irina Shayk verbirgt. Zwar besitzt auch der Trojaner die bekannte App-Endung, doch ist diese bei OS X standardmäßig ausgeschaltet. Sollte der Anwender versuchen, das vermeintliche Bild zu öffnen, nistet sich der Trojaner zunächst in das System ein und ersetzt sich danach durch das zu erwartende Bild, welches dann entsprechend den Erwartungen des Anwenders geöffnet wird. Der Anwender dürfte dadurch kaum Verdacht schöpfen und erst recht nicht die eingerichtete Hintertür bemerken, welche dem Angreifer die volle Kontrolle über Computer und Daten sichert. Vor solchen Trojaner-Angriffen können sich Anwender am besten durch Anti-Viren-Software schützen. Erfahrene Anwender können alternativ in den erweiterten Einstellungen des Finders die Darstellung aller Datei-Endungen aktivieren, wodurch sich der vorliegende Trojaner unweigerlich als App zu erkennen gibt.
0
0
60

Kommentare

kraut21.03.12 17:03
Erinnert mich irgendwie an Viren/Trojaner vor 10 Jahren unter Windows....
macwatch
macwatch21.03.12 17:04
Und dieses als Programm getarnte Foto verlangt beim Öffnen kein Admin-Paßwort?
Erstaunlich!! Oder sollte der Artikel an dieser Stelle lediglich gefährlich und unprofessionell ungenau sein??
snowman-x21.03.12 17:06
...genau das fragte ich mich auch grad...
martin066221.03.12 17:09
Alles kein Problem mehr mit Mountain Lion. Standardeinstellung ist nur Programme von App Store bzw. Zertifizierten Quellen starten zulassen. Problem erledigt.

Klappt wunderbar.

Cornel
Cornel21.03.12 17:10
Und eine Meldung, ob man dieses aus dem Internet heruntergeladene Programm wirklich ausführen möchte, erscheint warscheinlich auch nicht.

Wer bei einem Bild aus dem Internet die Frage nach einem Programmstart mit Ja bestätigt UND ein Admin-Passwort eingibt, der sollte keine Anti-Viren-Software installieren, sondern zieht lieber den Stecker raus!
Tago21.03.12 17:12
Also apps kann man doch auch ohne Admin Passwort öffnen, die Frage ist nur, dass OS X einen vorher warnt.

Und wie heißt es immer so schön? Nicht jeden Mist öffnen! Das galt schon unter win und gilt auch unter mac.
zod198821.03.12 17:18
martin:

Stimmt nicht, Standard ist "Alle Programme".
titanium
titanium21.03.12 17:26
wird das ding auch ausgeführt wenn ich quicklook-mäßig reinschauen möchte?
zod198821.03.12 17:33
Nein.
sierkb21.03.12 17:42
zod1988:

Dein Nein begründest Du genau wie und womit?
Lord of the Macs
Lord of the Macs21.03.12 17:56
sierkb
Kennst du ein Programm, das ausgeführt wird (gestartet wird), wenn man es anklickt und dann die Leertaste betätigt (=Quicklook)? Ich habe ein paar auf meinem Mac ausprobiert, ohne das die gestartet wurden...
Trust me, I am a professional... :-D
roadrunnerhagen21.03.12 18:00
Verdient die Anti-Viren Industrie zu wenig Geld?
Wenn du als Chef beliebt bist, hast du irgendwas falsch gemacht. Kannst ja dann gleich n Zelt auf deiner Nase eröffnen, wodrauf alle rumtanzen.
nd7021.03.12 18:01
Wer Dateinamensuffixe ausblendet, dem ist sowieso nicht zu helfen.
Odyssee21.03.12 18:10
Zieht man ein Bild aus dem Browser z.B. auf den Schreibtisch wird gewöhnlich die Dateiendung jpg (tif, gif...) angezeigt, egal wie der Finder eingestellt ist. Hat ein einfaches Bild diese Endung nicht.... das schwächste Glied der Kette sitzt immer noch vorm Rechner. Da will jemand seine Anti-Viren-Software verkaufen.
marco m.
marco m.21.03.12 18:16
Wie kann man sich das einfangen? Wer zur Hölle ist denn Irina Shayk? Kennt die hier überhaupt jemand?
Chevy Chase: "Twenty years ago, we had Steve Jobs, Johnny Cash and Bob Hope. Now we have no jobs, no cash, and no hope. Please, don't let Kevin Bacon die."
ma.21.03.12 18:23
Das Problem ist viel Größer als geschildert !!!

Erinnert sich noch Jemand an das gefakte JPG-Bild von vor vier Jahren?
Das hat Apple immer noch nicht gefixt; ein Skript mit beliebigen Terminal-Befehlen wird als .jpg umbenannt. Und OS X Lion erkennt das nicht, führt das Script blind aus.
Marcel_75@work
Marcel_75@work21.03.12 18:27
Die Info gab es schon auf dem Mac-Security-Blog von Intego (Hersteller von u.a. Virus Barrier) …

netspy
netspy21.03.12 18:30
MTN, fangt ihr jetzt auch an, jeden Mist hier unreflektiert wiederzugeben? Beim Aufruf wird man 1. gewarnt, dass man ein Programm aus dem Internet ausführen will und 2. wird dann noch nach einem Admin-Kennwort gefragt. Der Trojaner nutzt keinerlei Sicherheitslücken aus und selbst ein unbedarfter Anwender sollte bei diesen zwei Aktionen stutzig werden. Wenn nicht, hilft auch ein Virenscanner nicht weiter.
ma.21.03.12 18:31
netspy
erst lesen, dann nicht Meckern !

Tuco21.03.12 18:35
ma.
Doch, das war zumindest schon gefixt.
Soweit ich mich erinnern kann wurde dann gefragt ob das script gestartet werden soll.
Bart S.
Bart S.21.03.12 18:39
netspy
Wo steht denn bitte, daß man 1. gewarnt wird, daß man ein Programm aus dem Internet ausführen will und 2. nach dem Password gefragt wird???

In dem Artikel steht stattdessen:
If you made the mistake of clicking on the file, the Trojan would quickly launch, before creating a genuine JPG image of the Russian model, and deleting itself.
The end result is that the malicious file isn't in that folder any longer, but it *has* run on your Apple Mac. All that remains on your hard drive is an "innocent" JPG image of the underwear model.
Oder hast du es selbstpersönlich ausprobiert?
Please take care of our planet. It's the only one with chocolate.
zod198821.03.12 18:43
Lord of the Macs:

Genau das.
sierkb21.03.12 19:03
Kennst du ein Programm, das ausgeführt wird (gestartet wird), wenn man es anklickt und dann die Leertaste betätigt (=Quicklook)? Ich habe ein paar auf meinem Mac ausprobiert, ohne das die gestartet wurden...


Was passiert denn, wenn Du die Leertaste betätigst? Welches Programm stellt Dir denn das, was Du dann siehst dar? Das ein nicht zufällig irgendeine Komponente, ein Viewer, eine Browserkomponente (namentlich WebKit, PDFKit oder eine Vorschau-Komponente zur Darstellung von Bildern), die dann aufgerufen wird, um es Dir überhaupt visuell darzustellen?

In dem Moment, wo Du es SIEHST, ist da grad' was aufgerufen und gestartet worden. Wenn in dieser Komponente dann zufällig auch eine Sicherheitslücke sein sollte (kommt ja in Bezug auf WebKit und PDFKit durchaus häufiger und sogar gar nicht mal so knapp und auch manchmal bzgl. der zentralen JPG-Bibliothek vor) und Du Dir damit dann das Bild, die Webseite bzw. den Bookmark oder das PDF ansiehst, dann wird es von dieser geladenen Komponente in den Speicher geladen und Dir dann angezeigt.

Oder meinst Du, Vorschau.app bzw. die Leertaste zaubern Dir die Darstellung dessen, was Du da dann siehst aus der hohlen Hand einfach so herbei, und da wird im Hintergrund nichts an Systemkomponenten und/oder Freamworks geladen und gestartet, um Dir visuell das Ergebnis anzuzeigen?

Da muss von Dir nix extra gestartet werden, Du machst den Anstoß mit Deinem Leertastendruck, und dann setzt sich unbemerkt für Dich da eine automatische Maschinerie in Gang und startet automatisch im Hintergrund andere Programme, Frameworks und Prozesse.
Schon allein Anschauen könnte also schon reichen. Wenn Auch im Browser. Denn in dem Moment, wo Du es siehst, ist es kurz zuvor in den Speicher geladen worden, ist irgendwas gestartet worden, damit Du da was siehst. Und das reicht im Zweifel aus, wenn genau dort z.B. eine Sicherheitslücke sein sollte in dieser für Dich unsichtbar gestarteten Komponente, dass genau da Schadcode eines präparierten Bildes, präparierten PDFs, prärierten Flash-Banners, präparierter Webseite reinstößt und sich die genau dort befindliche Lücke sucht und sich darüber verankert und einhakt.

Und wenn Du Dir einen Bookmark auf dem Dekstop ablegst und diesen unter Lion z.B. per Leertastendruck anfährst und Dir vorab anschaust, was meinst Du was da dann grad' passiert? Da wird das WebKit-Framework aufgerufen, das Dir dann die komplette Webseite vom fremden Server holt und Dir in Deinem kleinen Quicklook-Vorschaufenster, das Du mit dem Leertastendruck initiiert hast, anzeigt. Da wird Dir also sozusagen ein Mini-Webbrowser gestartet. Zum Angucken. Und wenn Du Bilder anguckst, werden dazu die betreffenden Bilder-Bibliotheken gestartet, damit Du was sehen kannst.

Natürlich hat Apple diese Quicklook-Geschichtchen nach außen hin abgesichert und in ihren Fähigkeiten absichtlich begrenzt. Aber wenn in einer dieser nachgeladenen Komponenten dann mal eine Sicherheitslücke sein sollte (soll ja mal vorkomemn, und ist durchaus auch schon öfters vorgekommen)? Und die dann ausgerechnet auf eine entsprechend präparierte Datei trifft, die genau dafür passend einen Exploit in sich trägt, Schadcode in sich trägt, der genau dann da reingreift?

Siehe auch:

Wikipedia (de): Drive-by-Download

Anschauen reicht ggf., um sich ggf. zu infizieren. Ohne groß zu klicken oder bewusst was aufzurufen.
zornzorro21.03.12 19:34
Ist irgendwie langweilig so ein Mac ohne Viren und Trojaner - da wird den armen Windoof-Wichten eindeutig mehr Action geboten
sierkb21.03.12 19:55
Ist irgendwie langweilig so ein Mac ohne Viren und Trojaner

Ohne? Nein.
Weniger? Ja.

MacOSX XProtect.meta.plist (Lion):
LastModification: Tue, 20 Mar 2012 23:21:01 GMT
Version: 1025

Von Apple hinzugefügt heute morgen um 01:32 Uhr in
MacOSX XProtect.plist (Lion):

Item 16: OSX.Revir.ii

Letzte Woche von Apple hinzugefügt:

Item 15: OSX.FileSteal.i


Beides Trojaner.

Clamav Datenbank : 52 hits for 'osx'
da wird den armen Windoof-Wichten eindeutig mehr Action geboten

Die haben ja weltweit auch einen viel größeren Marktanteil als der Mac. Man betrachte mal weltweit den Marktanteil von Macs. Und im Vergleich dazu den weltweiten Marktanteil von Windows. Attackiert wird das am Meisten, das anzahlmäßig auch am meisten vorhanden ist, das am meisten Kohle bringt pro infiziertem System. Und viel bringt eben auch viel ein. Das geht also rein über Masse.
netspy
netspy21.03.12 19:55
@ma: Was habe ich denn bitte überlesen?

@Bart S. Natürlich wird man (wie von Mac OS X seit SN gewohnt) vor dem Ausführen eines aus dem Internet geladenen Programms gewarnt und natürlich benötigt Mac OS X eine Admin-Bestätigung, wenn sich der Trojaner im System einnisten will. Wäre das nicht so, würde es eine Sicherheitslücke in Mac OS X geben und das hätte garantiert irgendjemand schon mal erwähnt.

Hier versucht Sophos einfach mal die schleppenden Verkäufe von Antivirensoftware für Mac anzukurbeln und schreibt zwar nichts falsches, lässt aber wichtige Details einfach weg. So wird suggeriert, dass man als Mac-Nutzer fast machtlos gegen solche „Angriffe“ ist und unterschlägt dabei, dass Mac OS X schon ganz gute Schutzmaßnahmen besitzt.
zeekem21.03.12 20:08
ich glaub ja, dass das alles eine promo-aktion für das model ist.
Bart S.
Bart S.21.03.12 20:36
netspy
Also hast du es selbst ausprobiert, das Image von Irina Shayk doppelgeklickt. Oder was macht dich da so sicher?

Also wer stellt sich feiwillig zur Verfügung das auszuprobieren??? Vorher glaube ich's nämlich nicht, was netspy da so schreibt.
...Wäre das nicht so, würde es eine Sicherheitslücke in Mac OS X geben und das hätte garantiert irgendjemand schon mal erwähnt.
Na, das wird ja hier in dem Beitrag jezt gerade erwähnt.
Please take care of our planet. It's the only one with chocolate.
nd7021.03.12 21:08
Hier versucht Sophos einfach mal die schleppenden Verkäufe von Antivirensoftware für Mac anzukurbeln

Die Sophos Antivirensoftware (für Mac) ist kostenlos. Da gibt's nichts anzukurbeln.

Link
netspy
netspy21.03.12 21:08
@Bart S.: Mir egal, ob du mir glaubst aber es ist so wie ich es sage.
Na, das wird ja hier in dem Beitrag jezt gerade erwähnt.

Nein, von einer Sicherheitslücke wird im Beitrag rein gar nichts erwähnt. Lies ihn einfach noch mal. Alternativ kannst du dir auch den Beitrag bei Golem anschauen. Dort wird explizit geschrieben:
Eine Sicherheitslücke wird für den Trojaner nicht genutzt, sondern eine konzeptbedingte Schwachstelle unter Mac OS X: Dateierweiterungen werden häufig nicht angezeigt.

Mehr muss man dazu nicht sagen.
Weitere News-Kommentare anzeigen

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

Mein erstes Apple Produkt war ein...

  • Desktop-Mac (PPC oder Intel)29,6%
  • Apple-Notebook (PPC oder Intel)18,7%
  • Klassischer Macintosh (68k)23,7%
  • Apple-Notebook/Portable (68k)2,8%
  • iPod14,5%
  • iPhone4,4%
  • iPad0,2%
  • Apple Watch0,0%
  • Andere Apple-Peripherie (Drucker, Webcam, Maus, Tastatur etc.)0,2%
  • Apple I/II, Lisa4,9%
  • Sonstiges1,1%
1255 Stimmen17.08.15 - 04.09.15
1724