Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Flashback-Trojaner noch immer auf mehr als 100.000 Macs

Wie der Antiviren-Hersteller Symantec berichtet, ist der Anteil infizierter Macs mit der K-Variante des Flashback-Trojaners weniger stark gesunken, als ursprünglich erwartet wurde. Vor einer Woche war Symantec noch davon ausgegangen, dass die Anzahl der Infektionen mittlerweile bei weniger als 100.000 Computern liegen würde. Tatsächlich aber sollen noch bis zu 140.000 Macs mit dem Flashback-Trojaner in Betrieb sein. Eine Analyse des Trojaners hat ergeben, dass sich der Algorithmus zur Verbindung der infizierten Macs mit dem Kontrollserver der Angreifer nicht nur auf .com-Adressen beschränkt, sondern auch .net, .in, .info und .kz umfasst, falls die .com-Adresse nicht erreicht wird. Symantec hat auch eine Liste der kommenden Web-Adressen ermittelt, zu denen sich der Trojaner verbinden wird. Die Web-Adressen lauten eeejudpyefmsnd.com (18. April), lequkvmlratgsm.com, bwincdwtyxsorh.com, iquyrvtylnojde.com, xsqgafytwjygwl.com sowie fsdrpxvgmmvfiq.com (23. April).

Die Entfernung des Flashback-Trojaners kann entweder mit der von Apple bereitgestellten Java-Sicherheitsaktualisierung oder dem für Lion angebotenen Entfernungsprogramm vorgenommen werden. Alternativ bieten auch alle namhaften Antiviren-Hersteller entsprechende Software zur Entfernung des Trojaners an, zum Teil sogar als kostenlosen Download. Ebenfalls geeignet ist der auf Open Source aufbauende Virenscanner ClamXav, dessen Autor bei gefallen um eine Spende bittet. ClamXav ist in verschiedenen Versionen für Systeme ab Mac OS X 10.4 erhältlich.

Weiterführende Links:
Günstige "AirPods Lite" geplant?
Günstige "AirPods Lite" geplant?
Test Nubert nuControl X
Test Nubert nuControl X
Kurz: Apple informiert WWDC-Ticketgewinner +++ Zwei weitere neue iPads geleakt
Kurz: Apple informiert WWDC-Ticketgewinner +++ ...
Updates erschienen: iOS 17.4.1 und weitere verfügbar
Updates erschienen: iOS 17.4.1 und weitere verf...
Bericht: Apple stellt FineWoven-Zubehör ein
Bericht: Apple stellt FineWoven-Zubehör ein
Update-Abend: macOS 14.3.1, iOS 17.3.1, iPadOS 17.3.1 und watchOS 10.3.1 erschienen
Update-Abend: macOS 14.3.1, iOS 17.3.1, iPadOS ...
Kurz: Beliebige KI-Musik mit Udio komponieren (lassen) +++ Spotify "Music Pro" auf dem Weg?
Kurz: Beliebige KI-Musik mit Udio komponieren (...
Test Swarovski AX Visio
Test Swarovski AX Visio

Kommentare

Gerry
Gerry18.04.12 10:19
Woher wissen die das eigentlich wie viele es sind?
0
Stereotype
Stereotype18.04.12 10:21
Spielt jetzt auch Symantec mit?
Bisher dachte ich, dass nur Dr.Web verlässliche Zahlen liefern kann.
0
DonQ
DonQ18.04.12 10:44
@Gerry

entweder per Hochrechnung:

Anzahl der Meldungen an Symantec, bezogen auf Verbreitung der AntivirenSW/Marktanteil oder Guerilla Marketing, die haben den selber in die Welt gesetzt oder es wurde der Traffic zu den Viren Servern gescannt…an und für sich haben die VirenScanner Hersteller ein ziemliches Netzwerk für Viren Meldungen, manche sogar Tagesaktuelle Statistiken, aber eigentlich eher für Win
an apple a day, keeps the rats away…
0
o.wunder
o.wunder18.04.12 10:46
Bitte mal ausführlich schreiben für welche Betriebssystem Versionen man welches Tool zur Entfernung braucht. Apple lässt seine Alt Kunden da sträflich im Regen stehen, bzw. setzt wohl voraus das alle auf Lion updaten. Ein unmögliches Verhalten seitens Apples.

Wenn sich Apple hält selber viele OS X Versionen beschert müssen Sie eben auch viele Versionen mit Sicherheitsupdates versorgen.
0
o.wunder
o.wunder18.04.12 10:48
@Gerry
Es wird einfach die Verbindung zu den koordinierenden Servern gescannt und schon hat man die Anzahl. Keine Schätzung.
0
tifonex18.04.12 11:19
Apples Tool entfernt eben nur die damals häufigsten Varianten, entsprechend werden nicht alle erfasst und es bleiben welche übrig …
0
chicken18.04.12 11:26
Finde es ja gut das es Tools zur Entfernung gibt, egal von wem.

Aber grundsätzlich sind erstmal alle die diesen Trojaner haben selber Schuld - oder?

Die Software installiert sich ja zumindest nicht von allein - jeder will mündig sein, selbst bestimmen was er tun darf und kann auf seinem Rechner.
Man regt sich auf wenn Hersteller die Möglichkeiten einschränken.

Gibt's dann ein Problem schimpft man auf den Hersteller, dass der es nicht sicher genug gemacht hat?!

kommt mal klar in der Regenbogenwelt.
0
chessboard
chessboard18.04.12 11:41
Bei welchen Stellen kann man eigentlich massenhaft Domains wie lequkvmlratgsm.com, bwincdwtyxsorh.com und iquyrvtylnojde.com registrieren, ohne dass sich da mal jemand zumindest am Kopf kratzt?
Ich meine, diese Domains müssen doch spätestens bei Stellen wie der DENIC irgendwie auffallen. Oder wird da einfach alles automatisch durchgewunken?
0
sierkb18.04.12 11:47
stereotype:
Spielt jetzt auch Symantec mit?

Wird also wohl was dran sein an dem Ganzen, hmmm?

Zur Erinnerung: Symantec = Intel.
Da Intel Symantec gekauft hat.
0
sierkb18.04.12 12:05
Gerry:
Woher wissen die das eigentlich wie viele es sind?

Ganz wesentlich durch viele aufgestellte Honigtöpfe (Honeypots):

Wikipedia: Honeypot
Wikipedia: Intrusion Detection System , IDS Honeypot
0
sierkb18.04.12 12:12
chicken:
Die Software installiert sich ja zumindest nicht von allein

Leider irrst Du mit dieser Aussage die aktuellen Fälle betreffend. Die installieren sich leider, was die ausgenutzte Java-Lücke angeht, per Drive-By-Download -- ohne Wissen und notwendige Interaktion des Benutzers, ohne zusätzlichen Klick, ohne notwendige Eingabe eines Admin-Passwortes. Eine maliziöse Webseite besucht und angeschaut, und Zack! hat man so ein Teil auf der Festplatte in seinem Heimatverzeichnis und seinem LaunchAgent-Verzeichnis. Und XProtect, das sowas eigentlich erkennen und verhindern können soll, wird dabei ausgetrickst (weil umgangen) und hält ahnungslos Maulaffenfeil.
0
o.wunder
o.wunder18.04.12 13:07
sierkb
Sehr schön geschrieben.
0
nowMAC18.04.12 13:12
chessboard

Die Domains sind bisher alle nicht registriert. Der trojaner fragt jeden Tag bei einer anderen Adresse nach was er tun soll. Möchte der Hacker nun Befehle an einem bestimmten Tag geben, registriert er erst dann die passende Adresse und kann alle aus der Ferne steuern.

So habe ich es zumindest verstanden!
Ne Ne, seit Steve Jobs nicht mehr da ist....
0
chessboard
chessboard18.04.12 13:56
sierkb
Ganz wesentlich durch viele aufgestellte Honigtöpfe (Honeypots):

Genau genommen, wenn ich es richtig verstehe, durch sinkholes. Die Idee und Umsetzung dahinter ist ein klein wenig anders.
Während honeypots quasi schutzlose Rechner simulieren sollen, die erst noch infiziert werden müssen, werden im Fall von sinkholes die Daten/Befehle, die vom C&C-Server kommen, scheinbar angenommen, so als sei der Rechner bereits infiziert, jedoch im Weiteren auf spezielle Server umgeleitet. Der C&C-Server "glaubt" dann die Befehle erfolgreich verschickt zu haben, obwohl sie das eigentlich angegriffene Ziel nie erreicht haben, sondern eben auf dem sinkhole-Server gelandet sind.
Diese sinkhole-Server können einerseits vor Ort (da wo sich die angegriffenen Rechner/Netzwerke befinden) oder bei den Providern aufgestellt/installiert werden.
Im Falle der Trojaner-Jagd werden es dann Server bei ISPs gewesen sein.

Korrigiert mich, wenn ich falsch liege.

Erklärung dazu (leider nur auf English):
0
sierkb18.04.12 14:23
chessboard:

Ja, Du hast recht. Bzw. beide haben wir recht.

Wie Dein Link ja auch verrät und bestätigt:
Sinkhole (Computer network)

In the context of Internet operator routing, a sinkhole is both a target to which hostile traffic can be directed away from its target, and which also provides an appropriate place to apply specialized security analysis tools to that traffic. Greene and Macpherson describe sinkholes as "...the network equivalent of a honeypot ." They emulate traffic aimed at a production router or server, to a network and host(s) engineered to withstand the attack; a path separate from the main production network is often used from an ingress Border Gateway Protocol customer or interprovider router, to the nearest sinkhole.

"Nearest" is relevant here because it is perfectly feasible to have multiple sinkholes, typically with an anycast address, to divert distributed denial of service (DDoS) attacks.
[..]

Ein Sinkhole (zu deutsch: "Schluckloch" ) ist sozusagen ein Netzwerk aus mehreren aufgestellten Honeypots.

Spam-Jäger bzw. email-Provider arbeiten seit Jahren übrigens genauso und ebenfalls mit Honeypots und Sinkholes, um einerseits den Spam-Traffic von den Kunden/Usern wegzuleiten und zu minimieren und anderersits den Verursachern davon auf die Spur zu kommen. Nicht selten stecken Spam-Verursacher und Malware-Verursacher unter einer Decke und arbeiten Hand in Hand zusammen -- eine Mafia, die sich gegenseitig hilft und befruchtet.
0
user_tron18.04.12 15:00
Wer es noch nicht wissen sollte, es stecken immer die dahinter, die am meisten davor warnen
Ich erwarte von niemanden Zustimmung für meine persönlichen Ansichten ;-)
0
sierkb18.04.12 15:02
user_tron:

In diesen Fällen also zuvorderst auch und gerade Oracle und jetzt auch noch Intel?

Große Weltverschwörung gegen Apple ick hör' Dir trapsen...?!

Wenn da mal nicht der Iwan hinter allem steht...
0
Ronald Hofmann18.04.12 17:05
@o.wunder
wie im richtigen Leben eben.
Einmal in den Puff gegangen und schon hat man sich was geholt.
Man muß nicht alle Seiten dieser Scheinwelt besuchen.


GR
---
0
Ronald Hofmann18.04.12 17:06
@user_Tron
ganz deiner Meinung, das ist eine Gelddruckmaschine.

GR
---
0
sierkb18.04.12 17:32
Ronald Hofmann:
wie im richtigen Leben eben.
Einmal in den Puff gegangen und schon hat man sich was geholt.
Man muß nicht alle Seiten dieser Scheinwelt besuchen.

heise (17.04.2012): Computec Media AG als Malware-Schleuder missbraucht

stern.de (20.03.2012): Schadsoftware lauert auch auf seriösen Webseiten

heise (27.09.2011): MySQL.com infizierte Besucher mit Schadsoftware

heise.de (21.05.2010): IBM verteilt auf Sicherheitskonferenz infizierte USB-Sticks

pressetext (19.08.2010): Internetfalle: Cameron Diaz gefährlichster Promi
Lena Meyer-Landrut oft Köder für Cyberkriminelle in Deutschland

pressetext (18.10.2009): Virenschleuder Website: Ansteckungsgefahr lauert überall

pressetext (15.06.2009): Web-Werbung öffnet Viren Tür und Tor

heise (01.09.2011): Einbruch bei Kernel.org

heise (11.09.2011): Linux.com gehackt und vorübergehend offline

heise (03.06.2006): Infizierte Treiber auf HP-Servern

heise (22.09.2005): Mozilla-Mirror lieferte infizierte Software aus

[..]



Soso... Puff. Scheinwelt. Wie einfach die Welt in den Köpfen mancher Menschen doch gestrickt zu sein scheint...
Ich empfehle, dass Du Dein bisheriges Weltbild diesbzgl. nochmal mit der Realität abgleichen solltest -- die sieht nämlich inzwischen komplett anders aus als Du bisher zu glauben scheinst...
0
Tuco18.04.12 18:02
Ronald Hofman

Wenn man sich an die Hygienestandards hält und nicht mit blankem Schwert hantiert passiert da auch nix. Der gemeine Macbenutzer muss das wohl noch lernen.
0
klapauzius18.04.12 18:38
Es muss wohl doch noch schlimmer kommen.

Wird's dann wohl auch.

Wieso muss ich gerade an Dieter Nuhr denken ?

@sierkb, gib's auf. Bringt nix.
0
sierkb18.04.12 21:28
klapauzius:

+1

Ich ergänze obig von mir Gesagtes um folgende heutige tagesaktuelle Meldung:

heise (18.04.2012): Google warnt tausende Betreiber gehackter Webseiten :
heise, Google warnt tausende Betreiber gehackter Webseiten, 18.04.2012
Google hat auf einen Schlag die Webmaster von 20.000 Sites darüber informiert, dass ihre Seite vermutlich gehackt wurde. Dies gab Matt Cutts, der Leiter von Googles Webspam-Team, bei Twitter bekannt . In der Mail warnt der Suchmaschinenriese davor, dass die betroffenen Seiten anscheinend genutzt werden, um die Besucher auf eine verseuchte Seite umzuleiten.
[..]
Auch vor manipulierten .htaccess-Dateien wird gewarnt. Diese können dazu führen, dass eine Umleitung nur unter bestimmten Umständen aktiv wird; etwa wenn der Besucher die Seite über Google aufruft. Stammbesucher, einschließlich des Webmasters, bemerken die Infektion dadurch nicht.
[..]
Google hat Ende 2010 damit begonnen, Webmaster auf diese Weise zu warnen. Damals kündigte das Unternehmen an , zusätzlich in den Google-Suchergebnissen vor einem Besuch der verseuchten Seiten warnen zu wollen.
0
klapauzius19.04.12 12:24
Ach übrigens, alle Id----ten (Sorry, aber anders kann man das nicht mehr nennen), die sich jetzt wieder in ihrer gefühlten "I'm a mac - die Rente is sischer"-Arroganz zurücklehnen sollten sich mal das hier anschauen:

https://drweb.com/flashback/infections_graph/

Das sind die Jungs, die das ganze aufgedeckt haben. oops ! geht da die Kurve etwa wieder nach oben ? Ja wie kann das denn sein ? Ich bin doch ein Mac ! Ich bin doch sicher ! Oder wie jetzt ?
0
MacJohn19.04.12 19:31
Sie da, sieh da, der gute alle Klappi ist immer noch mit den gleichen Themen unterwegs – und hat In den vielen Jahren immer noch nix dazugelernt. Auch eine Leistung.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.