Apple stellt über die Softwareaktualisierung die Malware Entfernung zur Verfügung. Mit dem Java Update werden die am häufigsten verwendeten Varianten der Flashback Malware entfernt...

Meine Diagnose mit dem Detection Tool brachte zwar keinen Befund (wie immer)

 eben

Ich oute mich an dieser Stelle mal als einer von denen. Details dazu in diesem Kommentar-Thread , 12.04.12 13:40 Uhr.

Wieder nur Gelaber.
Denn hier zieht:

Java deaktivieren, komplett !

Lerne Dich kurz zu fassen, bitte !

"Ich habe ein zu positives Lebensgefühl, das ist schlimm." (Zitat Dieter Nuhr)

Die Nuhr Kur kann ich Tuco auch empfehlen...

Ab jetzt musst Du Dich um Dich selbst kümmern, mehr Zeit kann ich echt nicht für Dich aufbringen.

Alles Gute

Hey Sierkb, bitte hier nochmal die Kurzfassung Deines Befundes schildern... Der Thread ist wieder viel zu lang für die arbeitende Bevölkerung.

Die aktuelle Diskussion auf der Apple java-dev-Mailingliste (Links habe ich genannt) genau darum, was das bedeutet und ob das mit allen Folgewirkungen dem normalen Nutzer so einfach zu vermitteln sein wird (insbesondere bzgl. der Folgewirkungen und evtl. Browserneustart bei bedarfsweiser temporärer Aktivierung)

Bekomme ich regelmäßig irgendwie immer nur von denen gesagt, die nicht meiner Meinung sind. Sie selber es aber schuldig bleiben, bessere und überzeugendere Argumente auf den Tisch zu legen. Ist schon langsam sehr auffällig...
Offnbar scheint es da gerade bei solchen Leuten ein verbreitetes Problem mit dem Lesen und Verstehen längerer Texte zu geben. Dementsprechend dürftig sind dann auch deren Beiträge und Argumente in der Diskussion meist. Nicht willens und fähig, selber mit gutem Beispiel voranzugehen und Besseres als das, an dessen Form sie sich hochziehen, abzuliefern...

Zudem: lerne besser zu argumentieren und zu überzeugen. In knapperen, sachlichen Worten bei gleichem Inhalt als ich es tue. Kurz gesagt: marschiere voran, mach's mir vor und sei schlicht und einfach besser und überzeugender, trotze mir ein "Alle Achtung, Deine Argumentation haut mich aus den Latschen, überzeugt mich und nötigt mir Respekt ab!" ab!

Dito.

scrambler

Ja, so ist das mit Gefühlen. Die trügen u.U. ganz schön.

Ich hätte da noch ein viel bekannters Nuhr Zitat für Dich, aber ich fürchte das kollidiert zumindest mit der Nettiquette.

Das eigentliche Thema ist dann schätzungsweise hier soweit abgeschlossen?

Nochmal zusammengefasst:

• Avoid Flash install from foreign domains, except adobe.
• Deactivate Java completely.
• Avoid Trolls, they are here to steal your time because they can't think of nothing better to do.

siehe auch Umfrage oben !

Vielen Dank für 100 Stimmen.

*Angst lähmt den Verstand. Frag Dich einfach, wer davon profitiert.*

JAVA deaktivieren geht so:

• In Spotlight "Java" eintippen:
• Dann auf "Java Einstellungen" klicken und wie im Bild gezeigt einstellen.
• Dann Browser Neustart (oder falls auch noch anderes Java Gedöns läuft, Mac Neustart machen!
• Das wars

*Unter 100 Schafen gibt es immer 2 schwarze. Aber auch die gehören zur Herde und verdienen es gerettet zu werden. Selbst wenn man dafür die gesamte Herde allein lassen muss.*

Nochmal kurz ein Kommentar zu den üblichen Marketing Tricks der Virenprogrammierer, die gewerblich Antivirensoftware verkaufen:

1. Panikmachen
2. Panikmachen
3. Als Mac User in Foren anmelden und: Panikmachen.
4. Die eigene Software in den Foren bewerben. Möglichst unauffällig (LOL), mit mindestens 2 User Accounts.
5. Argumente für den sinnvollen Umgang mit Macs (und ohne Java) mit viel umfangreichem Text zumüllen.
6. Panikmachen.
7. siehe 1.

Wer sich angesprochen fühlt, ist selber schuld.
Wer in Zukunft doch noch Java ohne Update laufen lässt, auch.

Apple war diesmal schneller als sonst. Klar geht es noch schneller.
Wir werden sehen, wie wichtig das Thema Malware für Timmy in Zukunft ist...

Dein noch dümmlicheres "Fanboi"-Gequatsche kannst Du Dir stecken. Für mich ist das sehr wohl relevant, ob das Ding funktioniert.

Wie oft wollen Du und Deine kurzsichtigen Fanboy-Gleichgesinnten dieses ausgelutschte Argument eigentlich noch bringen?

Wie dumm nur für Deine Argumentationslinie, dass es auch AV-Software gibt, die nichts kostet und die auch noch nie was gekostet hat und von der es auch keine kommerzielle Version gibt.
Wie dumm nur, dass auch Oracle, seines Zeichens Java-Hersteller und Java-Projektleiter zu denen gehört, die in diesme Fall massivst und mit Nachdruck gewarnt haben?
Wie dumm nur für Deine Argumentationslinie, dass Apple spätestens seit Snow Leopard nun auch zu denen gehört, die selber eine AV-Lösung anbieten (im Fall von MacOSX Server schon seit Jahren in Form von Clamav und im Fall der MacOSX Clients seit Snow Leopard in Form von XProtect)...
Wie dumm nur für Deine Argumentationslinie, dass Apple höchstselbst dieses ganze Thema inzwischen wohl ernster nimmt als solche Verblendeten wie Du und Deinesgleichen, sonst würden sie wohl kaum ein gepatches Java anbieten, sonst würden sie wohl kaum ein Malware Removal Tool anbieten, sonst würden sie wohl kaum ein Clamav für deren Server anbieten, sonst würden sie wohl kaum dein XProtect für die Clients anbieten (und das alle Nas' lang den Realitäten entsprechend anpassen und Signatur-Updates machen), sonst würden sie wohl kaum in ihren seit Jahren bestehenden Security Configuration Guidelines die Sinnhaftigkeit von zusätzlicher AV-Software seitens Drittherstellern grundsätzlich empfehlen (haben dem Thema sogar einen eigenen und ausführlicheren Absatz gewidmet namens "Using Antivirus Tools") statt davon abzuraten...

Aber Du lügst Dir ja anscheinend lieber selber in die Tasche bzw. lässt Dich von anderen, zweifelhaften und selbsternannten Heilsbringern lieber einlullen und Dir einen vom Pferd erzählen und Dir lieber sagen, dass sich alle gegen die Mac-Plattform verschworen haben und nur ihr wisst es besser...

Apple bietet seit heute Morgen das Flashback malware removal tool (auch unabhängig von einer Java-Installation) für 10.7 Lion an:

APPLE-SA-2012-04-13-1 Flashback malware removal tool

Flashback malware removal tool is now available and addresses the
following:

Malware removal
Available for: OS X Lion v10.7 or later without Java installed
Impact: A Flashback malware removal tool will be run
Description: This update runs a malware removal tool that will
remove the most common variants of the Flashback malware. If the
Flashback malware is found, it presents a dialog notifying the user
that malware was removed. There is no indication to the user if
malware is not found. This update is available for OS X Lion systems
that do not have Java installed.

Flashback malware removal tool may be obtained from the Software
Update pane in System Preferences, or Apple's Software Downloads
web site: http://www.apple.com/support/downloads/

The download file is named: FlashbackMalwareRemover.dmg
Its SHA-1 digest is d4372b9bb14387a20567817ab7e03ea103fdffc2

Information will also be posted to the Apple Security Updates
web site: http://support.apple.com/kb/HT1222

This message is signed with Apple's Product Security PGP key,
and details are available at:
https://www.apple.com/support/security/pgp/

Für mich bleibt es somit bei dem, was ich bereits im ersten Kommentar dieses Threads angemerkt hatte …

Verstehe allerdings nicht, weshalb man das ohne Java-Installation überhaupt braucht?

Java wird für die "drive by"-Infektion gebraucht, die Malware an sich kann man sich auch "so" installieren, wenn man irgendwie sich den Installer beschafft.

Das Entscheidene was bei dem ganzen Gedöns auffällt ist, wie lange Apple mal wieder für Sicherheitsaktualisierungen braucht und das der Support nicht sehr weit zurück reicht und zwar in Jahren gemessen. Wenn Apple ein Problem hat ca 10 Jahre zurück zu aktualisieren, weil sie dann in Zukunft schon 10 neue OS X Hauptversionen auf den Markt geschmissen haben, zeigt nur wie Schwachsinnig dieser rasanter Wechsel einer soliden Betriebssystem Basis ist.

Um solche Daten zu klauen ist doch ein Botnetz viel zu aufwändig und die Entdeckungsgefahr sehr hoch. Wer sowas macht bastelt doch eher ein tolles Freewaretool, das im Hintergrund heimlich noch ein paar Daten sammelt.

@owunder

Deine Kritik fußt immer darauf, dass der Wechsel von der "soliden Betriebssystembassis" erfolgt ist.

Ist aber seit Snow Leopard gar nicht passiert. Die Tatsache, dass sich die Versionsnummer jetzt einmal im Jahr ändert, bedeutet gar nicht, dass irgendetwas weniger solide oder automatisch ultra neu und "bleeding edge" ist - stattdessen kleinere Veränderungen an Features und Aktualisierungen in vorhandenen Diensten. Das war bei Lion so, und das ist auch bei Mountain Lion so.

Das ist mir 1000 mal lieber, als bloß alle 5 Jahre ein riesen Update, bei dem dann wirklich nichts mehr läuft.

Das ist der Punkt: Offensichtlich will Apple weg von "großen" OS X-Update-Stufen, die IT-Projekte im klassischen Sinne sind wie z.B. die Umstellung einer Firma von XP auf Windows 7 - sondern hin zu kleinen Stufen, das OS-Update ist nur ein Installationspaket, Neustart, und fertig.

PMD
Okay, Machen wir es anders.
Da Deine Daten etc. nicht so wichtig sind installiere Dir den Flashback und probiere ihn aus. Deine Erfahrung kannst Du dann hier posten.

Du musst Dich allerdings beeilen. Morgen kontaktiert der Wurm jghidxcalkrrw.com und dann erfährst Du quasi als Erster was geht.

Und wie verteilt er ein solches Tool und bringt es unter die Leute? Schon mal drüber nachgedacht, dass so ein Botnetz, solche Schadsoftwware wie dieses in Rede stehende Trojaner-Gespann kein Selbstzweck sind, sondern i.d.R. nur Mittel zum Zweck und dazu angelegt sind, Größeres vorzubereiten, zu erreichen, durchzuführen? Größeres als Dir und mir und anderen auf den ersten Blick erstmal augenscheinlich ist? Siehe auch .

Und bzgl. aufwendig: Du unterschätzt gewaltig die kriminelle Energie derer, die sowas vorhaben. Da wird im Zweifel ALLES versucht. Mehrmals. Zeitgleich. Hintereinander. In Abständen. Auf verschiedene Methoden. Oder auf verschiedene Methoden gleichzeitig (z.B. durch sog. Hybrid- und Co-Gespanne). Solange, bis irgendwas verfngt und klappt. Geld und Geduld der dahinterstehenden Mafia ist zur Genüge vorhanden.
Bzgl. auffällig: was ist daran auffällig? Das aktuelle Ding zumindest in der K-Variante installiertt sich bzw. seinen Drawer, der dann ggf. die weitere brut versteckt nachlädt z.B. via manipuliertem Java-Applet, welches z.B. einer manipulierten Webseite untergeschoben worden ist. Unbemerkt vom Benutzer. Ohne sein Zutun. Ohne, dass auch nur irgenein Anzeichen davon zu bemerken ist.

XProtect erkennt diesen Trojaner, diesen Drawern nicht, an dem geht er also vorbei. Aus zweierlei Gründen erkennt XProtect den nicht: einerseits hat Apple ihn diesbzgl. noch nicht sensibilisiert mittels einer entsprechenden Signatur. Und zweitens, viel gravierender, selbst wenn eine Signatur in XProtect.plist vorhanden wäre, würde er ihn immer noch nicht erkennen, eben weil das Ganze über ein Java-Applet auf Deiner Festplatte gespeichert worden ist. Und das schreibt in diesem Fall kein Quarantäne-Bit in die betreffenden Dateien, die da versteckt auf Deiner Festplatte in Deinem Heimatverzeichnis und Deinem LaunchAgents-Verzeichnis von dem manipulierten Java-Applet abgelegt werden. Die wichtigste Voraussetzung also bei der XProtect überhaupt anspringen, funktionieren und wirken kann, nämlich das Vorhandensein bzw. Schreiben dieses Quarantäne-Bits in die ACLs der betreffenden Dateien in Gestalt von com.appe.quarantine, fehlt hier also bzw. wird bewusst unterdrückt (entweder schreiben Java-Applets unter MacOSX grundsätzlich kein Quarantäne-Bit, oder dieses wird von dem manipulierten Java-Applet bewusst unterdrückt, um auf diese Weise XProtect auszuschalten).

So, XProtect wird also ausgetrickst bzw. umgangen. Und was machen all diejenigen Nutzer, die keine zusätzliche AV-Software installiert haben, die sie stattdessen (XProtect schlägt da ja leider nicht an bzw. wird ausgetrickst) warnen und eine Anfangsinfektion verhindern könnte? Die bekommen diese beiden Dateien (eine davon eine versteckte Datei (dot(.)-Datei), welche im Finder nicht sichtbar ist sondern nur via Terminal, die andere zwar sichtbar und im ~/Library/LaunchAgents-Ordner, aber so geschickt benannt, dass sie dem unbedarften Auge nicht sofort auffällt) des Trojaners heimlich untergeschoben. Ohne dass sie oder ihr System irgendwas davon merken.

Und was findest Du an dem Ganzen jetzt auffällig? Außer, dass es rechtzeitig erkannt worden ist und weltweit Alarm geschlagen worden ist und Apple sich erstmal wochenlang, über einen Monat lang in lahmarschiger Zurückhaltung und Abwarten geübt hat, statt schnellstmöglichst zu handeln? Und Apple auf diese Weise die so große Ausbreitung des Botnetzes überhaupt ermöglicht hat (und weiterhin ermöglichst, weil z.B. 10.5-Rechner immer noch kein Java Update und immer noch kein Malware Removal Tool von ihnen spendiert bekommen haben -- es soll nicht wenige 10.5-Rechner geben, die am Netz hängen, die sind derzeit ein allzu leichtes Opfer für dieses Botnet: kein aktuelles Java, keine Patches, kein MRT, kein XProtect).

Ich wiederhole es gern nochmal.

Als iMac-G5-PowerPC-User (mit Leo 10.5.8, weil "höher" geht nicht für PPCs) nutze ich z.B. die beliebte TV-Browser.app und die ist ein Java-Programm.

Und ich werde Apple zuliebe – nur weil Apple z.Z. seine Produkte wie warme Semmeln verkauft und keine Zeit übrig hat, älteren, aber durchaus noch funktionstüchtigen Macs Sicherheits-Updates zu spendieren – nicht auf eine digitale, kostenlose TV-Programm-Übersicht verzichten.

Die App läuft nicht, ohne, dass ich vorher in den Java-Einstellungen das Häckchen gesetzt habe. Insofern, ja, ich bin "selber schuld", so what?

Dann deaktiviere Java nur im Safari

Wenn das so einfach wäre diesen Trojaner irgendwo her zu bekommen. Ich hätte mir den Trojaner gerne mal selber angeschaut aber mann findet in nicht.

JAVA deaktivieren geht so:

• In Spotlight "Java" eintippen:
• Dann auf "Java Einstellungen" klicken und wie im Bild gezeigt einstellen.
• Dann Browser Neustart (oder falls auch noch anderes Java Gedöns läuft, Mac Neustart machen!
• Das wars

*Unter 100 Schafen gibt es immer 2 schwarze. Aber auch die gehören zur Herde und verdienen es gerettet zu werden. Selbst wenn man dafür die gesamte Herde allein lassen muss.*
Zugehöriges Bild:

                                   Hartnäckig

[libreoffice-users] Mac OSX - Latest Java Update causes all java functionality to fail - Issue 115180

Zum Beispiel.

Streiche: 14.04.12 14:06 Uhr

Und weiter gehts

http://www.reedcorner.net/news.php/sabpab-malware-mimics-flashback/



Sophos != Sobös

Ich hätte ihn Dir gerne zuschicken können, wenn er Dich so brennend existiert (in meinem Fall 2 Dateien: eine launchd-Datei namens com.java.update.plist im eigenen ~/Library/LaunchAgents-Ordner, welche auf die 2. Datei verweist und diese nach dem Benutzer-Login startet und eine 2. Datei, eine Programm-Datei mit gesetzten x-Bits (damit sie ausführbar ist) namens .sunupdate im eigenen Heimatordner ~/).

Siehe dazu auch mein Kommentar in diesem Thread von 13.04.12 18:27 Uhr bzw. mein Kommentar in jenem Thread vom 12.04.12 13:40 Uhr.

Mit einem mal hatte ich das Ding. Ohne auch nur irgendwas bemerkt zu haben. Und drauf gestoßen bin ich eher durch Zufall bzw. nachdem ich neugierig und im zufriedenen Glauben, verschont zu sein, spaßeshalber mal hier und hier meine Rechner-UUID eingegeben hatte und mir beide Services bescheinigten: "You're possibly infected!"
Was ich, aufgeschreckt dadurch, dann auch hernach gleich sowohl händisch via Terminal als auch die verdächtige Datei ~/.sunupdate betreffend durch einen zusätzlichen Scan mit Clamav überprüfend und vergleichend mit den diesbzgl. publizierten Angaben und Merkmalen von z.B. F-Secure bestätigt bekam, dass ich mir ein paar Tage zuvor wohl tatsächlich OSX.Flashback eingefangen hatte (Erstellungsdatum beider Dateien: 28.03.2012, von mir entdeckt jetzt erst diese Woche im April -- durch Zufall).

So schnell kann's also gehen, ohne dass ich auch nur irgendwas davon mitbekommen hatte (u.a. durch eine zu laxe/großzügige Konfiguration meinerseits von Clamav, welche bis dahin mein Heimatverzeichnis ~/ selber nicht überwacht hatte (sondern nur ein paar ausgewählte Unterverzeichnisse davon), sonst wäre es soweit gar nicht erst gekommen und das Ganze schon im Ansatz aufgefallen).

Ich habe gerade von Snow Leopard auf Lion (10.7.3) aktualisiert und wenn ich Illustrator oder Photoshop CS3 starten will, heißt es, ich müsse erst Java installieren, also wird das wohl schon viel gebraucht …

Stefab

Viel gebraucht, weil einzelne noch CS3 verwenden? Im Gegenteil. Java stirbt aus. So wie Flash. Langsam aber sicher, weil unsicher.

Schönes WE

Das sehen Apple, Oracle, die OpenJDK-Community und viele viele andere aber irgendwie komplett anders als Du...

Sierkb: Was weisst Du wie Apple das sieht?

Und das Java Leute ihre Baustelle schönreden ist wohl klar.

Sierkb, Lass mal stecken und lerne Dich kurz zu fassen. Null Bock auf Deine Bandwurmtexte und Monsterzitate.

Lies einfach mal mehr die einschlägigen Entwickler-Mailinglisten, Projekt-Wikis und Roadmaps, wo die Genannten und Verantwortlichen (auch die von Apple! auch die von Oracle!) sich über die Zukunft von Java und auch über die Zukunft von Java auf dem Mac geäußert haben und auch immer noch äußern.

Ich sage mal: Du spricht in Unkenntnis der Dinge.

scrambler:


Haste Dir langsam redlich verdient! :streichel:

Du glaubst alles was Du liest. Und erkennst den Sinn dahinter nicht. Aber das ist Dein Problem.
Wäre einfach cool von Dir gewesen, hier beim Thema zu bleiben und dagegen Dein ewiges Genörgel bleiben zu lassen, immer und immer wieder... *sick*

Die Umfrage war der Sinn des Forum Threads nicht Dein persönlicher Kampf um Anerkennung.

Und geh mal vor die Tür, das hilft Dir zu entspannen.
Oder hast Du Angst vor der Realität ?

Interessant ist, dass ausgerechnet Du Super Mac Schlaumeier Dir den Trojaner eingefangen hast.

Lass gut sein sonst hau ich Dir diesen Post in Zukunft laufend um die Ohren, alles Klar ?
Schönes WE, mein Lieber!

So ein Idiot... *kopfschüttel*
Kann nix an der Tasse, hat im Grunde von Tuten und Blasen null Ahnung und trägt sein Unwissen wie eine Monstranz vor sich her (sonst würde er sich anders äußern), reißt aber bis hintenhin das Maul auf... *kopfschüttel*

Lass' man gut sein, kleiner Troll, und lass' Dir den Dir zugeworfenen Hering schmecken...

Der Super Schlaumeier (LOL) sierkb [Klarname gelöscht, Vermeer] ist hier der einzige, der sich den Flashback Trojaner eingefangen hat.

Jetzt ist er sauer und wird ausfallend. Tja. Tragisch komisch.

sierkb [Klarname gelöscht, Vermeer], Deine Website spricht Bände. Gar nicht clever.

"Ich habe ein zu positives Lebensgefühl, das ist schlimm." (auch Dieter Nuhr)

Schönes WE allerseits !

scrambler:

*kopfschüttel*

Und bzgl. obiger "Drohung", mir das Obige unter die Nase zu halten: Mach' doch! Nur zu! Ich stehe dazu und stehe vor allem drüber! Das was Du hier grad' anziehst, ist nur noch lächerlich, nur noch peinlich, ist unterste Schublade...
So reagiert eigentlich nur noch einer, der mit den Armen rudert und nach Luft japst, der nicht mehr weiter weiß und inhaltlich und sachlich argumentativ *nichts* aber auch *gar nichts mehr* vorzubringen hat außer Rumeprolle und Rumgetöse. Dann wird die persönliche Keule rausgeholt, dann geht's nur noch unter die Gürtellinie und per Attacke in den persönlichen Angriff über...

Wie lächerlich, wie armselig, wie unglaubwürdig und erst recht nicht überzeugend Du Dich da grad' mit gemacht hast und machst!

So, und nun ist gut, Du hast Dich ausgetobt, und jetzt geht's wieder ab in die Sandkiste zum Spielen...

Ich hab Dich auch ganz furchtbar lieb, Sierkb.

Da du ClamXav installiert hast hat sich der Trojaner ja von selbst wieder gelöscht und die von dir gefundenen verdächtigen Dateien sind nur die Reste gewesen. Somit hättest du mir den Trojaner auch nicht geben können.

scrambler:

Ist das jetzt Deine neue Art der Auseinandersetzung? Ins Persönliche gehende Hetze und Diffamierung?
Wie arm, wie entlarvend!

BTW: Du bist ob dieses Verhaltens gemeldet. Sorry, hast mir da leider keine andere Wahl gelassen. Du bist zu weit gegangen, hast den Bogen überspannt. Danke für Dein Verständnis.

Wäre ClamXav nicht installiert gewesen hätte dich OSX/der Trojaner nach deinem Admin-Passwort gefragt und du hättest auf abbrechen gedrückt und alles wäre gut.

lindinger_m

Dem ist ganz offensichtlich nicht so. Laut F-Secure fragt der Trojaner in jedem Fall nach dem Admin-Passwort und wählt je nach Eingabe oder Abbrechen nur verschiedene Arten der Installation. Dabei werden dann die von sierkb genannten Files generiert, wobei die Namen ja offensichtlich bei jeder Installation anders lauten können.
Quelle:

In Variante K schert sich Flashback auch nicht mehr um das Vorhandensein von Antivirus-Software wie ClamXav. In dieser Version werden nur noch die MS-Office-Programme und Skype abgecheckt um auffällige Abstürze zu vermeiden, wenn der Trojanercode von denen quasi mitgeschleift wird (das, was laut MacMark nicht funktioniert).

Der Umgangston in diesem Thread ist indiskutabel und mach ihn deshalb zu. Hier sollten sich einige Mal an die eigene Nase fassen und überlegen, ob sie sich hier geschickt verhalten.

Dann: wenn sich hier jemand unter einem Nickname äußerst, ist das sein gutes Recht. Dann kann jeder rumgooglen, wer das wohl sein mag. Es geht aber auf keinen Fall, dass dann in denunzierender Absicht oder welcher Absicht auch immer in Antwort-Beitragen der Klarname aufgelöst wird.

Ich hoffe die kleine Zwangspause hat zur Beruhigung beigetragen.

Ich bitte aber nun wirklich von aber wirklich von jeglichen Privatscharmützeln abzusehen.