Mit der A-Version hatte sich weder der Malware-Autor noch F-Secure mit Ruhm bekleckert: "AV-Firma noch ahnungsloser als Mac-Trojaner-Autor" 

Sieht so aus, als ob es allmählich ernst würde mit Schadsoftware auf dem Mac.

Somit ist es sicher kein Fehler, gelegentlich mal die Daten mit ClamXav zu checken.

Aber er installiert sich nicht von alleine wie unter Windows. Es ist immer ein Benutzer erforderlich der diesen Virus installiert!

Ein Trojaner ist kein Virus.

...eines Tages wird es Menschen geben, die bei vollem Bewusstsein Schadsoftware auf Ihrem Mac installieren...und das einzige über was sich diese Mac-User dann aufregen werden, ist die Farbe der Benützeroberfläche und dass Sie keinen Facebook-Button finden

Unter Lion verhindert das nicht die Sandbox?

Wie kann eine Software eigentlich erkennen ob sie in einer VM läuft?

Auch diese Schadsoftware erfordert es, vom Benutzer installiert zu werden. Der Benutzer ist die Schwachstelle, nicht das Betriebssystem.

Trotzdem bedenklich, wieviele dieser Trojaner inzwischen auftauchen. Viele Benutzer sind nunmal nicht so versiert im korrekten Umgang mit dem Internet und damit leichte Beute für diese Schadsoftware.

@MetallSnake:
Das lässt sich leicht anhand der Hardware erkennen. Hier z.B. http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1009458

@MetallSnake: Bin kein Experte dafür, aber schon der Name der Grafiktreiber (bzw. der Herstellername) ist ein untrügliches Indiz für eine VM und kann natürlich ausgewertet werden.

Ein interessanter Bericht von heise bzw. Microsoft zum Thema Schadsoftware: "Microsoft-Bericht: Fast die Hälfte der Anwender infiziert ihre Rechner selbst", siehe


Ich denke, gerade ein Flash-Player-Fake wird von vielen unerfahrenen Benutzern schnell gestartet/installiert, wenn eine Website dazu auffordert. Und nachdem auch große, populäre Websites nicht vor Hackerangriffen gefeit sind, muss man auch nicht unbedingt auf unseriösen Seiten surfen, um so was einzufangen.

@eiq: Erbsenzähler.
Ob Virus oder Trojaner ist doch letzen Endes egal.
Die Grenzen verschwimmen ohnehin zusehends und Schadsoftware ist es allemal!

smuehli

Die Dinge bei ihrem richtigen Namen zu nennen hat nichts mit Erbsenzählerei zu tun. Wenn du nicht unterscheiden kannst oder willst, nenn einfach alles "Schadsoftware".

Außerdem ist es kein Trojaner, sondern ein Grieche. So wird das Opfer zum Täter - schlimm!

Und wie bekommt man das Teil wieder los? Welche Tools gibt es zu Überprüfung über einen möglichen Befall und welche tools entfernen die schädliche Software wieder vom rechner? Ich hab das gefühl ich bin von dem Virus betroffe ? Wie kann ich mir jetzt helfen?

@imushroom

Am einfachsten das Terminal öffnen (in den Programmen > Dienstprogramme) und dort folgende Zeile eingeben (oder kopieren):

sagt er dann "ls: /Applications/Safari.app/Contents/Resources/UnHackMeBuild: No such file or directory" hast du ihn nicht drauf. Kommt da eine andere Zeile, dann bist du wohl davon betroffen.

Wenn du es nicht über das Terminal machen willst, kannst du alternativ auch in deinen Programme Ordner, dort rechte Maustaste auf "Safari" dort "Packetinhalt anzeigen" klicken und anschließen in die Ordner "Contents" > "Resources" wechseln.
Wenn es dort die Datei "UnHackMedBuild" gibt, dann bist du infiziert.

halebopp
keine panik, das ist immer dasselbe Schema. Wird sich auch so schnell nicht ändern mit den "Schädlingen"

Wenn Du wirklich Schadsoftware auf dem Rechner haben solltest, gibt es nur einen Weg das wieder loszuwerden: Komplette Neuinstallation! Ein einmal kompromittiertes System reinigt man nicht mit Tools, das wird neu aufgesetzt (auch wenn Anti-Viren-Hersteller das natürlich anders sehen…).

Benutzer sind schlimmer als alle Viren zusammen!

Außerdem frage ich mich folgendes:

Safari.app ist doch signiert, warum gibt es dann keine Warnung, wenn es gestartet wird und die Signatur stimmt nicht?

Naja in dem Fall ist es ja nicht ganz so schlimm. Es würde genügen die Datei zu löschen UND den Eintrag in der Plist zu entfernen. Wie im Artikel beschrieben, startet Safari nicht mehr, wenn man nur die Datei löscht, weil er sie beim Starten laden will aber nicht finden. Alles machbar und um einiges einfacher als System neu aufsetzen

Gerade mal ein bisschen rumgespielt:


gibt mir aus, dass das Programm signiert ist - alles Gut.

Verändert man den Code von Safari, so wie es "Flashback.B" auch tut, dann meckert die Codeüberprüfung sofort:


Schön und gut, aber Safari startet trotzdem ohne irgend eine Meldung

Wie gut ist denn bitte diese Code-Signatur, wenn er das nicht einmal beim Starten des Programms anmeckert, aber genau weiß, dass es verändert wurde *sick*

dann stecken andere Mächte dahinter

Warum bemühen einige hier, um's runterzuspielen, immer wieder Windows? Seit Jahren wird Windows bzw. werden Windows-Nutzer nicht von Viren geplagt, sondern von Trojanern! Genau die Art von Trojanern, die jetzt zunehmend auch die Mac-Plattform heimsuchen! So mancher Mac-Trojaner der letzten Wochen/Monate ist ein bereits bekannter Windows-Trojaner, der "nur" für die Mac-Plattform umgeschrieben worden ist bzw. in zunehmendem Maße für diese speziell angepasst und optimiert ist (siehe Grundlage dieser Newsmeldung).

Zudem einige hier zu vergessen scheinen, aus wessen Sichtweise das "Herunterladen und Ausführen durch den Nutzer" eigentlich zu sehen ist: nämlich aus der Sichtweise des betreffenden Schadprogrammes. Und dem ist es völlig wurscht, ob es durch den echten Mausklick eines echten leibhaftigen Nutzers heruntergeladen und ggf. aktiviert wird oder ob diese Rolle evtl. auch das betreffende Benutzerprogramm (z.B. Web-Browser, email-Programm) oder auch durch eines seiner evtl. vorhandenen Plugins oder Komponenten (z.B. Flash-Plugin, Java-Plugin, PDF Viewer/Vorschau etc. pp.) geschieht.

Zumal viele Schadprogramme und deren Ersteller das Tarnen, Täuschen und Tricksen beherrschen und so manches mal sogar ausgebuffte menschliche IT-Profis mit jahrelanger Erfahrung und einem ausgeprägten Spürsinn für sowas hinters Licht führen und unbemerkt an ihnen vorbei schleichen (u.a. genau darüber handelt diese MTN-News).

In vielen Fällen reicht immer mehr ein bloßes Ansurfen und Anschauen einer präparierten Seite, um sich was unbemerkt einzufangen, den Rest erledigen genannte Benutzerprogramme und ihre Plugins/Komponenten allein durch ihr Wirken. Und wenn diese Benutzerprogramme oder/und ihre Komponenten dann auch noch offene Sicherheitslücken haben, ist das dann ein prima Tor, um sich genau da einzuhaken und einzufallen. Exekutiert durch das normale Wirken dieser Benutzerprogramme und Komponenten (z.B. das Anschauen oder die Vorschau eines PDFs in Safari oder Mail.app aktiviert PDF Kit von MacOSX/iOS, welches wiederum ein evtl. präpariertes PDF lädt und damit dort evtl. dranhängenden Schadcode ausführt). Gleiches mit evtl. präparierten Flash-Inhalten (z.B. Werbebanner): Anschauen reicht, das Ausführen übernimmt das Flash-Plugin.
Kein Klicken, kein Ausführen seitens eines leibhaftigen Benutzers notwendig. Aus Sicht des Schadprogramms sind Benutzerprogramme und deren Komponenten/Plugins der Benutzer.

Siehe auch:

Wikipedia (de): Drive-by-Download
Wikipedia (en): Drive-by download

Das ist in diesem Fall irrelevante Wortklauberei und lenkt vom Eigentlichen ab. Es ist in beiden Fällen Schadsoftware. Und zwar genau dieselbe Art von Schadsoftware mit genau denselben Zielen und Techniken diese Ziele zu erreichen, wie sie seit Jahren die Windows-Plattform und ihre Nutzer heimsucht. Nur in der auftretenden Anzahl und Häufigkeit unterscheiden sie sich (noch), was auch angesichts der hohen Marktpräsenz und Marktdurchdringung und der damit verbundenen Attraktivität der Windows-Plattform (was Verbreitung und der damit verbundene finanzielle Anreiz angeht) für die Schadprogramm-Mafia, Spam-Mafia, Kreditkarten- und Passwort-Mafia (i.d.R. stecken sie alle irgendwie unter einer Decke, helfen und beauftragen sich gegenseitig) nicht weiter verwundert. Und genau das ändert sich anscheinend derzeit so langsam aber stetig -- zuungunsten der bislang jahrelang in Ruhe gelassenen Mac-Plattform und ihrer Nutzer.

+1

kann man unter windows eigentlich auch nen trojaner innerhalb einer Minute eliminieren?

Variante B funkioniert wohl auch nicht: