Hallo zusammen,

bin gerade über einen Artikel bei Slashdot gestoßen


Müssen wir uns jetzt doch Sorgen machen um Malware dieser Art? (IMHO war das nur eine Frage der Zeit...)

Weiterführende Infos unter:

und zur Problematik der StatupItems


Schaut euch dass doch mal an...

Hinnerk

Immer ruhig

Schau mal unter ...
macnews.de-Interview: Rootkits am Mac


Wie soll denn (BIS DATO) das Rootkit via Website bzw. Email auf Deinen Rechner kommen?

zanda

Nunja, beim Surfen mach ich mir ja auch keine Sorgen, aber kompromitierte Installer wären schon denkbar...

Jo, deswegen hasse ich auch Installer und lehne Shareware/Freeware die man sich so aus dem Netz lädt auch ab, wenn sie meinen, ohne Installer ginge es nicht. Ohne Installer geht das natürlich genauso, aber es ist schon auffälliger, wenn ein Anwendungsprogramm nach dem (ersten) Start nach dem Adminpaßwort fragt Für diejenigen, die auf alles klicken was sich bewegt und wie ein Knopf aussieht, werden die Zeiten vielleicht auch am Mac etwas härter

gibt doch schon wieder entwarnung...

ich denke wenn man die osx firewall an hat und little snitch benutzt ist man relativ sicher im moment... wobei sicher ist ja eh nur der tod

iBook.Fan
Entwarnung wofür? Für eine aktive Eigenverbreitung des RootKits ja, für das RootKit selber...nein.

Das Problem ist, das ein Admin in das StartupItems-Verzeichnis schreiben kann (also bei jeder Installation oder ähnlichem ausführen von Scripten) und die StartupItems selber beim nächsten Neustart von Root ausgeführt werden.
Nicht das RootKIt selber ist also das Problem, sondern die Standart-Rechteverteilung von OS X....

P.S. LittleSnitch wird durch das RootKit deaktiviert und die Veränderung der Firewallregeln stellt als root auch kein Problem dar

Hinnerik

Stimme dir zu. Übel sind übrigens auch Apps, die ihre StartupItems installieren und diese für alle beschreibbar lassen. Das öffnet Tür und Tor. Übrigens war das auch bei LittleSnitch der Fall, wie es inzwischen ist weiß ich nicht.

Naja, wie auch immer..entweder ändert man die Rechte des Ordners "StatupItems" oder lässt (wie ich )sich via Ordneraktion (Danke ) Änderungen am Ordner anzeigen und entscheidet dann selber, ob man das Objekt dort belassen will.

Wo wir gerade dabei sind. Die Demo Version von MacGiro 5 verlangt zur Installation das Root Passwort.

Ich finde ein solches Verhalten unverantwortlich, denn damit wird das "Eingaben des Rott-Passworts zur Installation" ja zur Gefährlichen, nicht mehr hinterfragten Gewohnheit.

Ich habe daraufhin die Demo nicht installiert und bleibe bei BankX.

Nicht, dass ich MacGiro nicht traue, aber ich bin mit der Zeit sensibler geworden und würde mich freuen, wenn Entwickler soweit es geht darauf verzichten irgendetwas mit Admin Rechten zu tun. Und daher wird jetzt das Root-PW aus Prinzip nur noch eingegeben, wenn es sein muss!

"Ordneraktion" kannte ich bis eben überhaupt nicht... ist ja ne richtig geniale funktion, und so kann man ja wirklich alles auf dateiebene überwachen... habs erstma auf meinen freigabe ordner angewendet um zu sehn wenn da jemand was drauf packt