Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum>Netzwerke>Trojaner für X ?

Trojaner für X ?

cab16.02.0612:04
Gerade hier gelesen: Im Macrumors Forum soll ein angeblicher Screenshot von MacOS X 10.5 eine ausführbare Unixdatei beinhalten.

Bitte lass das einen Scherz sein!
0

Kommentare

MacMark
MacMark16.02.0612:09
Vor Trojanern schützt Dich nichts und niemand außer der Tatsache, daß Du nichts ungeprüft startest. Zum Prüfen eignet sich beispielsweise "file" im Terminal.
„@macmark_de“
0
cab16.02.0612:10
geht das auch ausfürhlicher? was muss ich wo und wann und wie im terminal tun um was zu überprüfen?
0
jannes64
jannes6416.02.0612:13
der anfang vom ende:-/
„LESS IS MORE“
0
Dieter16.02.0612:14
Terminal.app: $ file <Dateiname-ggf-mit-DragnDrop-reinfallen-lassen>
Terminal.app: $ file Screenshot105.gif

Oder einfacher Context-Menu und bei öffnen mit gucken, womit es geöffnet werden soll!

-----

Aber das ein "Bild" nach dem vermeintlichen Öffnen das Admin-Passwort abfragt und man dieses dann noch eingibt, dass ist dann ein PEBCAK!
0
MacMark
MacMark16.02.0612:14
"file " tippen und Untersuchungsobjekt reinziehen. Return. Man beachte das Leerzeichen.

Bei Zip-Archiven: unzip -l <reinziehen> zeigt den Inhalt.
„@macmark_de“
0
Dieter16.02.0612:17
Oder einfacher: Context-Menu und bei "Öffnen mit" gucken, womit es geöffnet werden soll!
0
Dieter16.02.0612:19
bei ".tgz" oder "tar.gz": "tar tzf <reinziehen>
bei ".tar": "tar tf <reinziehen>
0
ella
ella16.02.0612:20
Aber es scheint kein Passwort zu erfordern, wenn man als Admin angemeldet ist:

"-- It requires the admin password if you're not running as an admin user"

„Stay hungry. Stay foolish.“
0
rofl
rofl16.02.0612:21
Sehr schöne Zusammenfassung bei Ambrosia:
0
Dominique
Dominique16.02.0612:21

Scheint ein nettes kleines Skriptchen zu sein!
Und es scheint zu funktionieren
0
Dieter16.02.0612:25
Ich hatte bei Apple mal angeregt, dass ausführbare Programme ein "Zahnrad" unten links durch den Finder (analog zu dem Pfeil der Aliases) eingeblendet bekommt. Damit könnte man den "Betrug" mit den Icons unterbinden.

Man erkennt sofort ein Programm und ist vorsichtiger. Leider keine Response von Apple ... *Seuftz* ... bin auch kein zahlender ADC Member ...
0
jogoto16.02.0612:40
Erstaunlich, dass man als Admin nicht nach dem Passwort gefragt wird. Schliesslich ist jeder Einzelbenutzer eines Macs mit OSX standardmäßig Admin, wenn ersich nicht die Mühe macht, für sich einen zweiten Benutzer anzulegen.
Sogesehen eine Sicherheitslücke.
0
Dominique
Dominique16.02.0612:48
jogoto: scheint ganz danach auszusehen. Muss man sich wohl einen 2. User anlegen...
0
MacMark
MacMark16.02.0612:51
Auf /Applications hat ein Admin Schreibrechte, daher keine Rückfrage.
„@macmark_de“
0
jogoto16.02.0613:01
Dominique & MacMark

Technisch ist mir das verständlich, was nicht bedeutet, dass man es nicht ändern sollte. Ich hab in der Vergangenheit alle meine OSX Installationen für Einzelbenutzer immer mit einem zweiten "Arbeitsaccount" ausgestattet. Da aber gerade Apple und OSX für technisch unbedarfte Anwender sehr interessant ist, hatte ich vielfach das Problem, dass einige Anwender nicht mit den zwei Accounts zurecht gekommen sind. Erschwerend kommt hinzu, dass bei vielen Aktionen die Eingabe der Adminnamens und -passwort gar nicht ausreicht, sondern man wirklich als Admin angemeldet sein muss. Also entweder Benutzerunfreundlich oder Sicherheitslücke; man kann es sich aussuchen.
0
Bodo
Bodo16.02.0613:01
Da sich dieses Teil in das Verzeichnis /InputManagers/ installiert, sollte ein absoluter Schreibschutz (auch für Admin) für dieses Verzeichnis eigentlich reichen. Oder?
0
jogoto16.02.0613:07
Berechtigungen und die Abfrage dazu könnten doch unabhängig voneinander funktionieren. Bei den Systemeinstellungen kann ich doch auch angeben, dass selbst unter Adminanmeldung eine Abfrage des Passwortes erfolgt.
0
Rantanplan
Rantanplan16.02.0613:19
Hm, ich habe mich gefragt, warum bei einem "normalen" Benutzer eine Authentifizierung kommt. Aus der Beschreibung bei Ambrosia war mir das irgendwo unklar, aber nach MacMark's Bemerkung hat's bei mir Klick gemacht: die kommt nur, weil das Programm (dummerweise) auf Programme in /Applications schreibend zugreifen will.

Deswegen: das mit dem zweiten "normalen" Benutzer bringt bei diesem Trojaner etwas, weil der auf Verzeichnisse zugreifen will, für die normale Benutzer keine Schreibzugriffe haben. Das bedeutet aber noch lange nicht, daß ihr mit der Methode "ich leg mir einen nicht-privilegierten Benutzer zu und kann dann wieder auf alles klicken ohne nachzudenken" auf immer Erfolg haben werdet! Wenn der Trojaner nicht so blöde wäre und z.B. nur Programme im Benutzerverzeichnis befallen würde (oder etwas anstellen würde, was sich nur auf das Benutzerverzeichnis beschränkt, was schon schlimm genug wäre!), dann würde euch der eingeschränkte Benutzer Null und garnix bringen. Bei Trojanern ist das Gehirn gefragt!
„Wenn ich nicht hier bin, bin ich auf dem Sonnendeck“
0
Rantanplan
Rantanplan16.02.0613:23
Bodo
Da sich dieses Teil in das Verzeichnis /InputManagers/ installiert, sollte ein absoluter Schreibschutz (auch für Admin) für dieses Verzeichnis eigentlich reichen. Oder?

Nein, es installiert sich in /Library/InputManagers/ und alternativ auch in deinem Benutzerverzeichnis: ~/Library/InputManagers/. Wenn dann müßtest du schon beide verrammeln und verriegeln.

Das wäre natürlich dann wieder mit Komforteinbußen verbunden. Apple könnte natürlich auch eine Warnung einbauen, wie bei Programmen, die man indirekt startet: beim ersten Mal kommt ein Dialog, der dich fragt, ob du diesen InputManager wirklich ausführen möchtest. Wäre vielleicht nicht schlecht. Allerdings hat man dann wieder das Problem mit "Meta-InputManagern" wie SIMBL.
„Wenn ich nicht hier bin, bin ich auf dem Sonnendeck“
0
Bodo
Bodo16.02.0613:43
Rantanplan
Ich meinte ja "beide"(bei mir schon erledigt). Dann müsste nämlich auf jeden Fall eine Abfrage kommen, falls sich dort etwas installieren möchte.
0
Rantanplan
Rantanplan16.02.0613:46
Der nächste Trojaner kommt dann halt als Service
„Wenn ich nicht hier bin, bin ich auf dem Sonnendeck“
0
tfelder
tfelder16.02.0613:47
erm.... moment.... wie gibts das das mit der Endung jpg oder png oder wasweisich ausführbar ist? braucht doch eine app oder scrpt oder wasweisich endung... also wenn man im finder "show all file extensions" abhackelt" sollte es als blabla.png.app angezeigt werden oder? DAS würde mich (auch wenns nicht nach dem passwort fragt) auf jeden fall aufmerksam machen....
0
Rantanplan
Rantanplan16.02.0613:49
Naja, als Service könnte vermutlich wenig anstellen... Ich meine nur: wenn du alle Fenster und Türen verrammelst, dann kommts halt durch den Kamin. Klar sollen keine Einfallstore für Trojaner da sein, aber gegen die hilft nur ein wacher und alarmierter Benutzer. Ein falsches Gefühl der Sicherheit macht es imho nur schlimmer.
„Wenn ich nicht hier bin, bin ich auf dem Sonnendeck“
0
Rantanplan
Rantanplan16.02.0613:51
tfelder

Nein, eine bestimmte Endung braucht eine ausführbare Datei nicht. Das .app ist nur für Programm-Bundles.
„Wenn ich nicht hier bin, bin ich auf dem Sonnendeck“
0
Dieter16.02.0614:48
Apple sollte ausführbare Programme mit einem Symbol eindeutig kennzeichnen, dann muss ich nicht immer in die Infos (oder mit "file") gucken, was ich da vor mir habe. So ein Icon ist schnell ge'fake't und schon wird dies als Programm gestartet statt, wie ich erwartet habe, dies mit einem Standard-Programm zu öffnen ...

Es ist schön, dass man Aliases direkt erkennt und Programmen einfach nicht ansieht, dass es Programme sind (analog Skripten, ...; also alles ausführbare!)
0
Dieter16.02.0614:49
... ähm ... es ist natürlich unschön, dass man einem Programm nicht ansehen kann, dass es eines ist!
0
Marcel_75@work
Marcel_75@work16.02.0614:51
Bei dieser Gelegenheit weise ich doch auch mal freundlich auf folgenden Part meiner Website hin:



Leider hatte ich noch keine Zeit, das Thema "Sicherheit und Mac OS X" fertigzustellen, aber bei MacMark findet ihr auch schon sehr viel zu dem Thema:



0
tfelder
tfelder16.02.0615:11
Rantanplan
tfelder

Nein, eine bestimmte Endung braucht eine ausführbare Datei nicht. Das .app ist nur für Programm-Bundles.

Aber die FALSCHE endung dürfte es nicht haben oder? Also eine UNIX-Executable dürfte nicht in .jpg enden...

Somit würde mich auch eine file mit dem preview icon - aber ohne file ending aufmerksam machen...
0
appleboy16.02.0615:33
Und wenn ich iChat nie nutze?

:-y
0
elBohu
elBohu16.02.0615:36
Ja, was ist dann?
Ich habe eine 2. Benutzer angelegt, der aber admin ist und habe mich aus dem Admin status enthoben... Spart doch einiges...
„wyrd bið ful aræd“
0
Arachnid
Arachnid16.02.0615:46
wer sich das Teil mal downloaden möchte möchte:



Bzw. in diesem Forum wurde das Teil zum ersten mal veröffentlicht:



0
Rantanplan
Rantanplan16.02.0616:41
tfelder
Aber die FALSCHE endung dürfte es nicht haben oder? Also eine UNIX-Executable dürfte nicht in .jpg enden...

Ich sitze gerade nicht an einem Mac, deswegen kann ich es nicht ausprobieren. Aber: bei Unix gibts keine Extensions, dem ist das völlig wurst, wie die Datei heißt. Wenn das Executable-Flag gesetzt ist, dann ist das Ding ausführbar. Auch wenn der Dateiname auf .jpg endet. Was ich nicht weiß, ist, wie der Finder einen Doppelklick behandelt. Wenn der nur kuckt ob das x-Flag gesetzt ist, dann ist dem mit Sicherheit auch die Datei-Extension wurst.
„Wenn ich nicht hier bin, bin ich auf dem Sonnendeck“
0
Rantanplan
Rantanplan16.02.0616:46
Ivo von Bohuszewicz
Ja, was ist dann?
Ich habe eine 2. Benutzer angelegt, der aber admin ist und habe mich aus dem Admin status enthoben... Spart doch einiges...

So, dann überlege mal folgendes. Nimm mal diesen netten Trojaner. Zuerst kopiert er seinen InputManager in dein Benutzerverzeichnis. Keine Paßwortabfrage, warum auch? Dann laß diesen Trojaner mal so intelligent sein, daß er nicht versucht in Dateien zu schreiben, für die er keine Schreibberechtigung hat. Laß ihn stattdessen sich erstmal ausbreiten per iChat (keine Pawßwortabfrage, warum auch?). Und irgendwann fängt er genüßlich an dein Benutzerverzeichnis zu leeren (keine Paßwortabfrage, warum auch?). So, was hat es dir jetzt gebracht, daß du kein Admin warst?
„Wenn ich nicht hier bin, bin ich auf dem Sonnendeck“
0
rofl
rofl16.02.0616:46
Rantanplan
Dem Finder ist das nicht Wurst, hab mal ein kleines Unix-Tool (DeveloperTool GetFileInfo) genommen, und die Endung jpg drangehängt (das Tool hat im Original keine Endung). Executable Bit ist gesetzt, trotzdem öffnet es Vorschau, und im Terminal wird nichts ausgeführt. So einfach ist es also nicht.
0
Rantanplan
Rantanplan16.02.0616:54
rofl

Gut, sehr gut.
„Wenn ich nicht hier bin, bin ich auf dem Sonnendeck“
0
elBohu
elBohu16.02.0616:59
Rantanplan
Ivo von Bohuszewicz
So, dann überlege mal folgendes...
Soll das heißen ich in ausgeliefert??
Mal im Ernst: also weil ich admin war ist meine Aktion für die Wurst? Was ist denn nun wenn man iChat übergarhauptnicht nutzt?

„wyrd bið ful aræd“
0
rofl
rofl16.02.0617:21
gaspode
Nein der Finder ist dumm (und schlecht, sehr schlecht), wie ich eben (15:46) schon berichtet habe.
0
Rantanplan
Rantanplan16.02.0617:46
Ivo von Bohuszewicz
Mal im Ernst: also weil ich admin war ist meine Aktion für die Wurst?

Nein, für die Wurst nicht. Man darf halt nur nicht denken: jetzt bin ich kein Admin mehr, jetzt kann nix mehr passieren. Diese Schlußfolgerung ist verkehrt.
„Wenn ich nicht hier bin, bin ich auf dem Sonnendeck“
0
Rantanplan
Rantanplan16.02.0617:48
Achso, wenn du keinen iChat verwendest. Naja, dann kann sich dieser Trojaner bei dir zwar einnisten, aber sich nicht verbreiten. Da es unwahrscheinlich ist, daß sich alle zukünftigen Trojaner per iChat verbreiten, ist der Verzicht auf iChat also auch nur für diesen einen Trojaner ein kleiner Vorteil. Viele besser: ihn überhaupt nicht bekommen.
„Wenn ich nicht hier bin, bin ich auf dem Sonnendeck“
0
Marcel_75@work
Marcel_75@work16.02.0618:34
Bei heise gibt's mittlerweile ein paar genauere Infos:

0
Dominique
Dominique16.02.0618:45

Mal schauen, wie lange Apple braucht um ein Update herauszubringen das die Rechte so fixt wie auf heise vorgeschlagen...
0
MacMark
MacMark16.02.0620:34
Inzwischen wird das Ding als Virus oder Wurm in der Presse gehandelt. Klingt gefährlicher, ist aber die falsche Kategorie. Schlagzeile halt.

Da der Schädling eine Benutzeraktion (Doppelklick) zum Verbreiten benötigt, ist es kein Wurm. Ein Wurm verbreitet sich ohne jedes Zutun eines Benutzers.

Der Versuch, sich in andere Programme einzunisten und von dort aus dann weiterzuverbreiten, wenn das infizierte Programm gestartet wird, ähnelt einem Virus.

Die Voräuschung, ein Bild zu sein, aber etwas anderes zu tun, plus der Umstand, daß der Benutzer zum Starten verleitet werden soll, macht es zu einem Trojaner.
„@macmark_de“
0
MacMark
MacMark16.02.0621:06
Nachtrag: Ein Virus tritt nicht als alleinstehendes Programm auf. Ein Virus kommt immer als infizierter Teil eines Programms/Dokuments und wird aktiv, wenn das Programm/Dokument geöffnet wird. Ein Virus braucht einen Wirt. Daher trifft Virus als Bezeichnung nicht zu hier.

Es ist ein Trojaner mit einer Verbreitungsroutine.
„@macmark_de“
0
Dieter16.02.0621:13
Apple in der Presse? Cool, mal was Neues!

Meldung: "Nachdem Windows-Benutzter täglich von Duzenden Viren überfallen werden, hat auch Apples Betriebssystem Mac OS X nun seinen allerersten Virus"?

Wäre doch Werbung für das System ... Der Anlass könnte jedoch besser sein ...
0
Dieter16.02.0621:18
legolas:~ dieter$ file latestpics
latestpics: Mach-O executable ppc

Ein ganz normales Programm, was halt alles tun darf, was die Benutzerrechte hergeben ...
0
kester16.02.0621:32
Hab erst einmal die Tür zu gemacht. Bodo's Tip scheint mir am pragmatischsten zu sein.
0
MacMark
MacMark16.02.0621:33
Der gute Andrew sieht es wie ich: www.ambrosiasw.com/forums/index.php?showtopic=102379
„@macmark_de“
0
MacMark
MacMark16.02.0621:46
Man muß es runterladen (via iChat), entpacken und dann doppelklicken. Ne Menge Useraction also erforderlich.
„@macmark_de“
0
teorema67
teorema6716.02.0621:51
Klar, ist ein Trojaner.

Ich vermisse jetzt echt den sonst üblichen Spott
„Wenn ich groß bin, geh ich auch auf die Büffel-Universität! (Ralph Wiggum)“
0
camaso
camaso16.02.0621:59
Wieder mal volle Bestätigung: Keine Antivirensoftware nötig, Geld gespart und der Mac bleibt sauber.

Gruss
camaso
0

Kommentieren

Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.