Apple stellt über die Softwareaktualisierung die Malware Entfernung zur Verfügung. Mit dem Java Update werden die am häufigsten verwendeten Varianten der Flashback Malware entfernt...

Meine Diagnose mit dem Detection Tool brachte zwar keinen Befund (wie immer)

 eben

O.K.
Ich brauche Java auch!
Beispielsweise sehe ich oftmals die Wetterdaten der Wetterseite von orf.at an.
Einen Trojaner habe ich aber auch vor dem Update nicht entdeckt

Danke Vermeer.

+1

Zur Sache: Gab es denn schon an irgend einer Stelle Informationen dazu, "woher" dieser Trojaner (und all seine Ableger der letzten Monate) eigentlich kommt?

Wie ich in einem News-Kommentar vor einigen Tagen ja schon einmal anmerkte, kann man u.a. folgende IP dauerhaft per hosts-File-Eintrag aussperren (Beispiel für 10.7):


bzw. unter 10.6/10.5 etc.:


Wobei diese IP natürlich jederzeit wechseln könnte.

PS: Unter 10.7 wäre dann noch in /System/Library/LaunchDaemons/com.apple.mDNSResponder.plist das "AlwaysAppendSearchDomains" sinnvoll:

Welche Wirkung hat denn dieser zusätzliche Eintrag?
die beiden o.g. sind mir klar, Du leitest die Anfrage auf den Localhost um, aber die dritte verstehe ich nicht..

Aha. Du bist scheinbar nicht in der Lage, meine einfache Frage zu beantworten. Warum lässt Du es dann nicht einfach? Das legt für mich den Schluß nahe, daß Du einfacher trollen willst. Na dann, viel Spaß damit.

Kennt jemand ein Forum indem solche Fragen seriöser und fundierter beantwortet werden? Ich komme mir hier immer mehr vor wie bei Onkel Heinz.

Ich hörte, hier gäbe es ein paar Flashback-Betroffene:

Habt Ihr noch einen Payload (eine dynamische Library) von Flashback, dann würde ich mir die gerne ansehen.

Wenn es eine Infektion unter einem normalen User gab, würde mich interessieren, ob trotzdem eine Abfrage nach Admin-Name und -Paßwort kam oder ob in dem Fall der Paßwort-Dialog ausgelassen wurde.

Wenn es unter einem normalen User passierte, würde ich gerne wissen, ob es irgendwelche Programm-Crashes gab und eventuell noch Crashlogs davon?

Falls die Infektion unter einem Admin stattfand: In welche Browser-Apps wurde die Library kopiert? Alle oder nur Safari? Gab es Browser-Crashes und eventuell Crashlogs?

Gab es in einem Browser nach der Infektion ein ungewöhnliches Verhalten? Beispielsweise zusätzliche Werbung, veränderte HTML-Inhalte oder zusätzliches Javascript?

Gab es irgendein anderes Anzeichen von Malware-Aktionen wie Kreditkartenbetrugsversuche?

Die IP-Range des aktuellen Payload "zeigt" zumindest auf einen in Valencia/Spanien ansässigen Provider (SoloGigabit) …

Ich kann verstehen dass Macs eine Herausforderung für Malware Programmierer darstellen.

Aber wer einen Mac hat, der wird ihn sehr wahrscheinlich lieben und es ist daher sehr unwahrscheinlich, dass ein Mac User Malware gegen Macs programmiert.
Der Täter ist wahrscheinlich unter den Nörglern zu suchen, die sich zum einen dadurch entlarven, dass sie Macs als unsicher bezeichnen und wild Panik verbreiten und zum anderen dadurch, dass sie im Internet mit schlechtem Design auffällig werden. Sie machen sich dadurch zumindest verdächtig.
Grundsätzlich halte ich schlechtes Design für gemein, v.a. für das Auge

Aber was ich schlecht finde, findet jemand anderes evtl. total hip.
Dies ist ein Freies Land. Also kann jeder mit seinem Mac machen was er will. Solang er damit anderen nicht schadet.

*I love my Mac. And I love people who love their Macs. Because Love is the answer.*

OMG...

scrambler: von Deinen Netiquette-Verstößen gestern habe ich mich schon nur mühsam erholt. Auch wenn ich mich nur ungern zu inhaltlichen Fragen äußere, muss hier aber doch mal sein: Ein bisschen besseres Niveau sollten die Beiträge schon haben. Wenn Deine Beiträge so undifferenziert daher kommen, geht es dann irgendwann auch dem dem tolerantesten Geist auf die Nerven...

Das nehme ich mal als Akzeptanz meiner kleinen Schelte, damit Schwamm drüber und allen einen schönen Sonntag!

+1
Wenn die Fragen beantwortet werden, könnte eine konstruktive Diskussion weiter geführt werden.
Davon ab interessiert mich das Thema auch, aber bitte nur sachlich.
Ich werde mir nicht ohne sachliche Informationen einen AV installieren.
Vorher will ich die echt Bedrohung erkennen und auch sehen dass ich sie nicht mit brain2.0 vermeiden kann.

XCode 3.2 wollte ohne Java auch nicht starten, bringt aber nicht viel, da es eh nur mehr abraucht, sobald man ein Projekt öffnet. Und ich muss eben mit CS3 arbeiten, weil in der Firma noch ein iMac G5 (1,5 GB RAM) steht mit Tiger (vielleicht mach ich mal ein Update auf Leopard wegen Time Machine). Der ist zwar alt, die meisten jobs, die anfallen, lassen sich auf neuen Rechnern aber auch nicht schneller erledigen.

scrambler: Trotzdem die genannten Programme ohne Java-Installation nicht starten wollten, ist das von dir genannte Häkchen immer noch deaktiviert.

Man sollte aber darauf hinweisen, dass Java in Programme/Dienstprogramme/Java-Einstellungen bei jedem Benutzer-Account unabhängig voneinander deaktiviert werden muss (wenn man denn auf Java verzichten kann).

Es ist keine systemweite Einstellung.

Und gut würde es unserem Thread sicherlich außerdem tun, wenn wir noch einmal auf entsprechende Lösungen für 10.5.x, 10.4.x etc. verlinken, da Apple sich ja zu fein dafür ist, auch dafür Updates oder MRTs zu liefern (wie schon letzten Sommer/Herbst mit den DigiNotar-Zertifikaten etc. geschehen) …

MacMark: Hast Du denn mittlerweile einen Payload erhalten inkl. Crash-Logs etc.? Ansonsten kann ich Dir die Tage sehr wahrscheinlich welche zukommen lassen falls noch Interesse (10.5 und 10.4 Betroffene) …

Marcel_75@work:

+1

Außerdem:

Zentrale Anlaufstelle für solche Payloads (Samples), zu der man sowas einschicken, analysieren lassen (und ich glaube sogar: auf Anfrage auch Samples bekommen kann, dessen bin ich mir im Moment aber nicht sicher) kann und auch AV-Anbieter (kommerzielle wie nicht kommerzielle) ihre Funde mit anderen teilen, indem sie dort Payloads (Samples) hochladen: VirusTotal , .

Auf den regelmäßig und 15-minütlich aktualisierten Übersichtslisten von VirusTotal kann man immer ganz gut erkennen, welche AV-Software welche aktuelle Malware zu dem betreffenden Zeitpunkt bereits erkennt und welche (noch) nicht. 2 Beispiele: , .

Meinen eingefangenen Flashback.K-Trojaner hatte ich z.B. auf der Shell manuell nach kurzer Analyse und Bestätigung sofort per rm-Kommando gelöscht, habe deswegen dieses Sample leider nicht mehr (auch nicht im TimeMachine-Backup). Und nicht aufbewahrt oder zu VirusTotal eingeschickt, weil in letzterem Fall zu dem Zeitpunkt bei VirusTotal schon genügend Samples von Flashback.K nebst Signaturen diverser AV-Anbieter vorgelegen haben (u.a. auch von dem von mir favorisierten und benutzen Clamav, welches den ja auch hernach erkannte, als ich Clamav drauf angesetzt hatte), sodass meine Einreichung redundant und überflüssig gewesen wäre.

Hat hier eigentlich der zornige Zorro, oder sonst ein bekannter Dummkopf einen neuen, weiteren Account, oder woher sonst kommen derartige Kommentare her bzw. die Dummköpfe scheinen nicht aussterben zu wollen

Bist selber ein Dummkopf, Aronnax.
Bitte Nettiquette beachten. Sonst macht das der Vermeer, hatten wir doch schon.

Denk mal etwas weiter, über das Offensichtliche hinaus... Und über Sinn und Zweck von einigen Aussagen hier im Forum.

Niemand braucht Symantecs Windows Security Schrott. Oder sonstige kostenlose Virenscanner, die ohnehin nur max 95% aller Gefahren (bei Windows) erkennen.
Kostenlos bleiben sie nur so lang, wie sie keiner braucht. Nachfrage schaffen durch Panik. Dann die Premium Version verkaufen, weil die Basisversion nicht alles kann. Ein alter Hut.

Wenn überhaupt, dann eine Firewall wie "little snitch".

Think different. Schon vergessen ?

Wer sich allerdings sorglos auf filestube und co rumtreibt und jeden warez- Mist runterlädt, der muss sich nicht wundern, wenn er sich selbst auf einem Mac mal etwas einfängt.

Aber wie gesagt, der sog. Trojaner wäre nur dann gefährlich, wenn man sich ganz ohne Firewall im Internet bewegt. Little Snitch alarmiert seinen Benutzer in jedem Fall, bevor ein fremder Server kontaktiert werden soll.

Cogito ergo sum.
*Angst lähmt den Verstand.*

Das wäre nett, ich habe sonst noch keine bekommen.

Oh je, wo soll ich anfangen …

Die Entwickler von LittleSnitch höchstpersönlich haben schon einmal in einem älteren Beitrag (in ihrem eigenen Forum) darauf hingewiesen, dass LittleSnitch eben genau das nicht gewährleisten kann.

Beispiele dafür gibt es einige (u.a. die Adobe Creative Suite neuerer Art).

Also verbreite hier bitte nicht solch "gefährliches Halbwissen" (nicht böse gemeint, aber anders kann man das wohl nicht nennen).

@scrambler
Erst blödsinnige Verschwörungstheorien zu verbreiten und sich dann in die Nettiquette zu flüchteten, um Kritik abzublocken - passt irgendwie nicht zusammen, oder?

Nur so am Rande, es gibt hier auch Kiddies, die sich irgendwas selber beweisen müssen. Aber in der Regel ist es heute schlicht organisierte Kriminalität - eine Mafia - die dahinter steckt. Mit Liebe oder Abneigungen/Nörglern hat das wahrlich nichts zu tun.
Um mal die hier entscheidende Frage zu stellen: Was muss man rauchen, um auf deine Theorien zu kommen

Du musst noch viel lernen.

@Marcel: Beweise bitte. Sonst ist das nur eine leere Behauptung, mein Lieber.

OMG.

Aronnax & scrambler: aufhören! Niemand will, dass in diesem Thread wieder eine Keilerei losgeht.

Ja und? scrambler z.B. hat ja in diesen Thead bisher schon ganze arbeitet geleistet, dass weitere Keilereien wohl kaum einen Unterschied machen

Vermeer: Deine PN erklärt es. Danke !

scrambler: Die "Beweise", wie Du es nennst, musst Du Dir leider selbst heraus suchen. Im ObDev-Forum wirst Du fündig …

To whom it may concern

Hier gibt's mehrere OSX.Flashback Payloads (Samples) zum Runterladen:

contagio malware dump:

mountain lion gatekeeper bietet 3 sicherheitsstufen.

1. install only from mac app store
2. install apps from mac app store and outside also from developers certified with apple
3. install anything you want.

macs werden also zumindest mit stufe 1 oder 2 noch sicherer...

neue umfrage zum thema ... mal sehen wer was zu sagen hat.

Marcel_@75work

"Und gut würde es unserem Thread sicherlich außerdem tun, wenn wir noch einmal auf entsprechende Lösungen für 10.5.x, 10.4.x etc. verlinken, da Apple sich ja zu fein dafür ist, auch dafür Updates oder MRTs zu liefern (wie schon letzten Sommer/Herbst mit den DigiNotar-Zertifikaten etc. geschehen) …"


Mir ist vor kurzem aufgefallen, wo mir JAVA noch fehlt in 10.5.8 (wo noch?), wenn ich JAVA abschalte, nämlich in Mail.app: Die Anhänge werden nicht mehr angezeigt (siehe Bild).

So! Das geht jetzt aber nun alle an, oder?

(Also nicht nur uns – von Apple vernachlässigten – PowerPC-Mac-User, welche einfach nicht auf TV-Browser.app usw. verzichten wollen und wiederholt das Häckchen in "Java-Einstellungen" setzen, um diverse in Java geschriebene Apps starten zu können).

Ich werde dort nicht fündig. Den Beweis bleibst Du schuldig....
Du hättest doch präziser verlinken können, wenn Du dort selbst einen Beweis gefunden hättest

Leider keine dylib zum Download dabei.

tix

In Lion werden Bilder in Mail trotz deaktivierten Javas angezeigt.
Der Fehler "fehlendes Plug-In" ist auch bei aktivem Java unter Snow Leopard bekannt.

Dann lies noch mal genau, was ich weiter oben bereits geschrieben habe, ich zitiere:

Die Entwickler von LittleSnitch höchstpersönlich haben schon einmal in einem älteren Beitrag (in ihrem eigenen Forum) darauf hingewiesen, dass LittleSnitch eben genau das nicht gewährleisten kann.

Das ist mindestens schon 2-3 Jahre her, wenn nicht gar noch länger …

Davon abgesehen stört sich Little Snitch nicht einmal an der Änderung einmal zugelassener Binaries bzw. deren Abhängigkeiten, von daher ist das ganze schon vom Grundkonzept her "broken by design" (um es mal etwas zu überspitzen).

Was glaubst Du, warum große Firmen schon lange weg von "Firewalls der 1. Generation" (dazu zählt auch "Dein Little Snitch") auf z.B. solche Lösungen hier schwenken:

Zumindest gestern war kein Treffer dabei …

Wahrscheinlich bist Du schneller, wenn Du mal direkt bei Intego, Kaspersky & Co. anfragst.

Marcel:

Little Snitch ist eine unter Mac Usern verbreitete Firewall.
Es geht doch gar nicht darum was Du schreibst, sondern um den präzisen Beweis.
Der fehlt immer noch.
Such einfach mal eben kurz das Statement raus, verlinke es fix und gut ist.
Alles andere ist doch jetzt nur noch Zeitverschwendung, denn damit ist niemandem wirklich geholfen. Und das ist Sinn und Zweck von MTN.

Bis dahin erscheint Deine Kritik an Little Snitch nicht unbedingt glaubwürdig.

Und viel wichtiger: Welche Firewall nutzt Du selbst und empfiehlst sie uns weiter, statt Little Snitch ?

Das kann schon sein …

Von "Fehler" im Betriebssystem Leopard 10.5.8 möchte ich aber in diesem Zusammenhang (noch) nicht sprechen, weil ich in den letzten Tagen des öfteren über Java-Einstellungen das Häckchen gesetzt und wieder rausgeklickt habe und entsprechend zeigte nach dem Start die Mail.app wie sonst üblich den Anhang (= Objekte) an oder "Fehlendes Plug-In".

Vorher (vor 'Flashback') habe ich nie eine Anzeige "Fehlendes Plug-In" in Mail.app festgestellt, weil das Häckchen in Java-Einstellungen immer gesetzt war.

Ich habe es noch nicht gelesen, aber zumindest die Überschrift klingt schon mal nicht uninteressant:

Tiefenanalyse: Der Flashback-Trojaner
Wie der bisher erfolgreichste Mac-Schädling funktioniert

Ich finde den Artikel auch gut.

Ha!

Warum tust Du das denn nicht mal selbst, sierkb?

Verantwortliche von Apple:

2007, Jobs: pogue.blogs.nytimes.com/2007

Offizielle Roadmap Java auf dem Mac:

Java wurde bereits in Snow Leopard als deprecated markiert:developer.apple.com

Status quo:

Mit Lion ist Java raus aus der Installation von OS X.

Hintergrund:

Apple hatte zur Jahrtausendwende mit Java experimentiert, dann aber beschlossen, daß es Java für sie letztendlich nicht bringt. Ich kann das als Entwickler sehr gut nachvollziehen. Heute nutze ich Java nur noch, um Exploits für Android zu schreiben.

Das mit Tellerrand und MacMark wird einfach nix mehr...

Java für OS X 2012-004 verbessert die Sicherheit, Zuverlässigkeit und Kompatibilität durch Aktualisieren von Java SE 6 auf 1.6.0_33.

Dieses Update konfiguriert das Java-Web-Plug-In so, dass es deaktiviert wird, wenn über eine längere Zeit keine Applets ausgeführt werden. Wenn das vorausgehende Update „Java für OS X 2012-003“ nicht installiert wurde, wird das Java-Web-Plug-In durch dieses Update sofort deaktiviert. Durch Klicken auf „Inaktives Plug-In“ auf einer Webseite können Java-Applets erneut aktiviert werden.