Erwischt dann ja nur die Softwarediebe. Also die richtigen.

Versteh ich nicht ganz, klärt mich mal auf - Was um alles in der Welt sind denn Bitcoins und wie kann man damit an handfestes Geld kommen ?

Diesen Trojaner hatte Intego schon am 28. Oktober gemeldet:

Auweia, das ist ja mal wieder eine der grandiosen Enthüllungen dieser Fa. - läuft wohl schlecht mit dem Verkauf der AV-Software *sick*

Ich hab neulich gehört, dass es einen Trojaner geben soll, der den Mac befällt, während man auf dem Klo sitzt. Man muss allerdings in der linken Hand ein beleuchtetes Weizenbierglas halten und in der rechten Hand einen von einer Samsung-Hexe zubereiteten Kräutermix, sonst klappt das leider nicht.

@Ling Ling:

und

Ich kannte es bisher auch noch nicht, und werde es wohl auch in naher Zukunft nicht weiter brauchen.

Was wohl auch interessant ist:

Der Schädling farmt zwar hauptsächlich nach diesen Bitcoins, hat aber noch mehr Routinen:

- Bildschirmfotos anfertigen und speichern
- Browser History kopieren
- Terminal History kopieren

und dann noch Zitat von Sophos:

Alles schon sehr seltsam

@Stresstest
Also gelesen hab ich's, danke, aber verstanden irgendwie noch immer nicht 100%ig.
Aber offensichtlich betrifft es mich wohl nicht

@Ling Ling

wenn Du verbotenes Zeug, also _richtig_ verbotenes Zeug in den Tiefen des Netzes und deren Parallelwelten kaufen willst.....z.b. Waffen, harte Drogen, Auftragskiller etc... dann brauchst Du an diesen Orten Bitcoins zur Bezahlung.

Und dann noch:

- er installiert einen Proxy um Benutzernamen und Passwörter zu fischen
- Öffnet eine Hintertüre und wartet auf Befehle
- Sendet Daten an einen Server im Netz

Er installiert sich außerdem nur, wenn Little Snitch NICHT aktiv ist. Läuft Little Snitch auf dem System, dann werden die Routinen erst gar nicht gestartet. Außerdem sind es wohl die verschiedensten Programme in Tauschbörsen die davon infiziert wurden (z.B auch AudioHijack Pro). Die Programme laufen auch "normal" nur dass sie eben den Trojaner mit einschleppen und aktivieren.

@Retrax
Na endlich jemand mit einer klaren Erklärung.
Vielen Dank.
Also dann kann ich ausschließen das ich das jemals benötigen werde.
Waffen und Drogen interessieren mich eh nicht.

Ach ja..... Und Auftragskiller kann ich mir nicht leisten

Wie Tommy es zu Beginn schon sagte, der Trojaner trifft nicht die falschen, insofern stellt er keine potentielle Gefahr dar.

tommy
ganz genau. Man installiert ihn ja dabei fast freiwillig.

Bin mal gespannt was bei Heise und Co wieder stehen wird! Die werden wieder den begriff Virus nutzen.

Nichts zieht eben besser als eine Schlagzeile wie:
"Jetzt! Das ultimative AUS für den Mac!! Allererster VIRUS für OSX aufgetaucht !!! Mac User in Gefahr!! Jetzt!!!!

Fragt dieser Trojaner auch nach dem Admin PW...? Davon liest man nichts, das verwundert mich etwas...

Bitcoins sind sowas wie Bargeld im Internet man kann sozusagen nicht nachvollziehen wer wem wieviel gibt.
Man kann sich Bitcoins kaufen also gegen eine reale Währung oder minen also selbst berechnen da muss der Rechner eben irgendwas schwieriges berechnen und wenn er das Ergebnis raus hat bekommt er als Belohnung Bitcoins. Das Problem bei elektronischem Geld ist das man die Dateien also das Geld kopieren kann so oft man will deshalb werden alle Überweisungen von möglichst vielen Bestätigt so weiß also jeder wem wieviel gehört und von wem es kommt und die Anonymität wird durch die mehreren IDs des Users gewährleistet. Ich hab ja schon oben geschrieben das man Rechenleistung aufwenden musst und die Rechenleistung berechnet eigentlich nur die Bestätigungen der Transaktionen. Die Schwierigkeit dieser Rechenoptionen änderte sich auch noch mit dem ansteigen der User die minen wollen.
Insgesamt ist Anzahl der Bitcoins die jemals entstehen kann begrenzt was bedeutet das es für Leute die die Transaktionen per Rechenleistung bestätigen einen Ansporn geben muss dies weiter zu tun denn kostenlos machen die das nicht also muss man dann in Zukunft selbst noch geringe Gebühren für die Überweisungen bezahlen.
Leider hat aber Bitcoins schon ihren Höhepunkt erreicht und sinken schon wieder

Retrax
Erzählst du deinem Kind auch, dass jeder der mit viel Bargeld rumläuft und damit was kaufen möchte ein Drogendealer oder ähnliches sein muss?

Ling Ling
Bitcoins werden zwar benutzt, um teilweise illegale Geschäfte zu tätigen, aber nicht nur. In den Anfängen wurden Bitcoins als eine Art Tauschwährung gehandelt, dh. zb. konnte man sich für ein paar Bitcoins im Monat Webspace mieten. Es wurden also hauptsächlich nur Internet-Dienste mit Bitcoins honoriert. Das Prinzip an sich ist einfach: Eine Person investiert Rechenleistung in die Berechnung von Bitcoins und wird dann mit Bitcoins dafür belohnt. Wer dir was dafür bietet, hat sich erst langsam auf dem freien Markt entwickelt.
Bitcoin ist außerdem eine dezentrale Währung, dh. es gibt keine Zentralbank, die es verwaltet, sondern alle in dem Netz eingebundene Rechner überprüfen die jeweiligen letzten Transaktionen auf ihre Richtigkeit. Hinzu kommt, dass der Weg von jeder Bitcoin, also jeder Transfer und Besitzer, sich nachverfolgen lässt. Mit Hilfe der Bitcoin-Addresse (eine Art "Kundennummer") einer Person, könnte eigentlich auch jeder dessen Kontoführung durchforsten, weil halt alles öffentlich ist.

Nochmal zu Retraxs Kommentar: Es gibt sicher genug andere Möglichkeiten um Waffen, usw. zu kaufen. (Die alt-bewerten Methoden) und ich bezweifele, dass wirklich große Geschäfte mit Bitcoins gemacht werden, da der Kurs zu Dollar oft sehr starke Schwankungen aufweist und so aus 500.000 Dollar schnell mal 400.000 Dollar werden könnten. Bei richtig hohen Summen gibt es das Problem, dass die Anzahl der Bitcoins begrenzt ist und die Kurve der Erstellung degressiv ist. (dh. am anfang wurden vielleicht 50 Bitcoins pro "Runde" erstellt, und momentan nur noch 15) Also es gibt noch keine 500 Millionen Dollar in Bitcoins.
Es gab oder gibt allerdings in den USA einen großen online Drogenmarkt der mit Bitcoins funktioniert, insofern hattest du schon recht.

Wen das Thema übrigens noch mehr interessiert und keine Lust hat komplizierte Artikel zu lesen, dem empfehle ich den Podcast vom CCC. Sehr verständlich erklärt, kann man gut zuhören und Tim Pritlove hakt auch einige male nach und dann wirds nur noch verständlicher. Dauert halt nur etwas länger, aber lohnt sich! http://chaosradio.ccc.de/cre182.html

Also dann ist das vom Prinzip her doch genau so mit den File Sharing Netzwerken. Die sind ja auch nicht "nur" für Pornografie, Softwarediebstahl und Illegale Musikdateien zuständig, sondern meines Wissens werden dort auch legale Dinge getauscht. Von kostenlosen Linux Distributionen bis hin zu selbst komponierter Musik. Die Grundidee der Tauschbörsen ist also nicht illegal, das natürlich illegale Sachen dort auch verkehren ist zwar ein Fakt aber nicht der ausschließliche Nutzungsgrund für File Sharing per se... Will sagen, wer File Sharing betreibt muss nicht automatisch illegales treiben, oder siehst du das anders?

Nein, das sehe ich nicht anders sondern stimme dir voll und ganz zu. Ich habe ja hauptsächlich Retraxs Aussage kritisiert, weil sie Bitcoins einfach in ein zu schlechtes Licht stellt und keine wirklich Erklärung dafür ist, was Bitcoins eigentlich sind und wozu sie gedacht sind. Habe dich nur erwähnt, weil du wissen wolltest was Bitcoins sind und Retraxs Aussage als "klare Erklärung" bezeichnet hast. (Die Stelle wo ich deinen Namen erwähne ist vllt etwas unglücklich gewählt)

Bitcoins werden auch in realen Läden eingesetzt (gut nicht vielen eben)
Für die Berechnung von Bitcoins muss der Rechner aber schon eine gescheite GPU haben. wirklich interessant wird es erst ab einer Radeon 6850 o.ä.

Da scheint derzeit Einiges gleichzeitig in der Mache und im Umlauf zu sein, nicht allein nur OSX/Miner-D, sondern auch OSX/Tsunami nebst Variationen (zur Einschätzung von OSX/Tsunami siehe auch die beiden zuletzt genannten Links von Intego und Reed Corner), und von Mal zu Mal wird’s ausgebuffter (wie z.B. bei OSX/Tsunami, welches wohl eher in Richtung ausgewachsenes Hacker- und Spionage- und Botnet-Betreiber-Werkzeug einzuordnen ist als in Richtung einfacher Trojaner):

CNET news (October 28, 2011): Tsunami’ trojan malware bot ported to OS X
Another day, another Trojan. The malware bot called "Tsunami" that has been developed for Linux systems since around 2002 has been found on OS X

Sophos (October 27, 2011): More Mac malware - new Tsunami backdoor variants discovered

ESET ThreatBlog (October 26, 2011): Tsunami Mac OS X Trojan DDoS malware is Linux port say ESET researchers

Macworld (October 26, 2011): New Trojan horse uses your Mac to attack websites

Intego Blog (October 26, 2011): Tsunami Backdoor can be used for Denial of Service attacks

Reed Corner Design (October 26, 2011): News report confused about Tsunami

Sophos (October 25, 2011): Tsunami backdoor for Mac OS X discovered
Sophos (October 25, 2011): OSX/Tsunami-A
Sophos (October 25, 2011): OSX/Tsunami-A, detailed analysis

Bedrohungspotenzial derzeit konkret zwar relativ gering, das liegt aber vor allem daran, dass derzeit die dazu notwendigen Steuerserver alle noch nicht stehen, teilweise noch hie und da kleine Patzer passieren und diese „Geh- und Tastversuche“ derzeit alle recht schnell entdeckt werden bzw. quasi vor aller Augen stattfinden. Trotzdem ist unverkennbar: sowohl die Einschläge werden lauter als auch hat sich deren Schlagzahl erhöht. Und von Mal zu Mal wird’s ausgebuffter und trickreicher. Der Lern- und Verbesserungseffekt findet quasi vor aller Augen statt, noch vor aller Augen. Bedenklich wird's, wenn der erste funktionierende Steuer-Server entdeckt wird, der diese Dinger aus der Ferne ansprechen kann. bzw. wenn diese Dinger ohne irgendwelche handwerklichen Patzer sind (und das sind sie zunehmend -- ist noch in der ersten Generation von handwerklichen Fehlern die Rede, gilt das nicht mehr unbedingt und immer weniger für die 2., 3. oder 4. Generation, die dann in kurzem Abstand hinterhergeschickt werden).

@dayz

Naja, wo werden denn heute BCs groß für legale Dinge eingesetzt? Du hast ja selbst geschrieben: "in den Anfangszeiten".

Wär also schön auch mal ein Beispiel anzuführen...

@siekb
Und jetzt? Immer ist noch das Zutun des User entscheidend nur auf den Mac geladen machen die alle nix und das ist wichtig und ändert sich so schnell nicht! So wie es bei Windows läuft( Rechner ungeschützt ans Netzt und Zack Virus drauf) geht bei Mac OSX nicht so what

@sierkb

Danke für die Analyse.

Langsam scheint Brain 1.0 auch nicht mehr auszureichen.

Was empfiehlst Du für Brain 2.0 auf OS X?

DeepBluesee:

Versuche Dich mal langsam von dem Gedanken zu lösen, dass "vom Nutzer per Klick ausführen" immer zwingend heißt: "der Nutzer muss da irgendwo draufklicken, um's auszulösen". Versuche mal das Ganze aus Sicht des Schadprogrammes zu sehen: Ausführen bzw. Klick können entweder unter Vorspielung falscher Tatsachen erschlichen werden (z.B. durch einen perfekt gefakten Systemdialog, der Dir vorgaukelt echt zu sein) oder z.B. auch durch irgendwelche Automatismen von beteiligten Benutzerprogrammen oder auch Webseiten (z.B. via Skripting, Ajax) durchgeführt werden, ohne dass irgendeine Interaktion mit dem menschlichen Benutzer vonnöten ist. Indem die z.B. eine schadhafte Software oder ein präpariertes Dokument ganz einfach laden, zum Beispiel das automatische Ausführen des PDF Viewers im Browser oder via WebKit/PDFKit in Mail.app etc. Gleiches beim Anschauen von untergejubelten Flash-Bannern etc. Dem Schadprogramm ist es völlig scheißegal, WER da auf welche Weise auch immer "den Knopf drückt" bzw. eine Ausführung initiiert, ob das durch einen menschlichen Benutzer geschieht und durch sein aktives Klicken oder dies z.B. auch automatisch geschieht durch das Benutzerprogramm (z.B. Browser, email-Programm) höchstselbt, weil es z.B. so vorkonfiguriert ist (z.B. in Safari die automatische PDF-Vorschau).

Beschäftige Dich mal ein wenig mit Drive-by-Download [url]de.wikipedia.org/wiki/Drive-by-Download[/url] gerade in Verbindung mit so mancher Lücke in diversen Browsern inkl. Safari und in verbindung mit dem Flash-Plugin und PDF-Viewern und -Plugins.

Schaut ein solcher Viewer sich eine evtl. verseuchte Datei an, dann ist das aus Sicht des Schadprogramms als Ausführung zu betrachten. Erst recht, wenn sowas im Browser dann auch noch brav per Voreinstellung standardmäßig aktiviert ist. Dem Benutzer soll damit der zusätzliche Extra-Klick abgenommen werden. Vergessen wird dabei: einem etwaigen Schadprogramm wird somit ein solcher zusätzlicher Extraklick ebenfalls genommen, und es wird in den Speicher geladen und ausgeführt, wenn eine entspr. präparierte Datei aus Bequemlichkeitgründen gleich angezeigt werden soll. Wo Licht ist bzgl. Bequemlichkeit und Automatismus, ist eben zuweilen auch Schatten.

Zudem: komme mal runter von Deiner vereinfachenden Anti-Windows-Denke bei sowas. Du vergisst nämlich dabei: diese Schadprogramme, die da jahrelang die Windows-Benutzer traktiert haben, finden ihren Weg jetzt derzeit in Richtung Mac-Nutzer. Wenn Du bzgl. Mac da also irgendwas verharmlosen willst, dann solltest Du es gegenüber der Windows-Plattform ebenso tun, die Art der Schadprogramme und die Art der Schadprogramme zu täuschen und zu tricksen und die Nutzer in die Irre zu führen, ist genau dieselbe, unterscheidet sich auf keinste Weise voneinander. Unterscheiden tun beide sich lediglich bisher in der Masse. Das ist alles. Und da sei gesagt: auch unter Windows hat's mal klein angefangen, was die Masse angeht. Und bzgl. Mac-Plattform: eine Zunahme der Kadenz und Frequenz ist wohl unbestreitbar -- erst recht in diesem Jahr 2011.

Dafür surft und arbeitet der durchschnittliche Mac-Nutzer seit Jahren völlig unnötig als Admin-Nutzer. So wie zu Windows 9.x-Zeiten und MacOS9-Zeiten. Mit Admin-Rechten. Völlig unnötig und mit viel zuviel Rechten ausgestattet. Ist mindestens genauso schlimm, wenn nicht sogar schlimmer, weil nix gelernt aus der Maläse. Ein reingeschlepptes Schadprogramm freut sich, erbt es somit diese Admin-Rechte, hat nötigenfalls eine Hürde weniger zu umschiffen. Auch wenn zu root immer noch eine Hürde zu nehmen ist: es ist eine Hürde zu leicht gemacht und völlig unnötig. Auch da ließe sich sicher irgendein Fake-Dialog erzeugen, der den Nutzer ggf. bejahen ließe, hier ggf. etwas zu bejahen oder freizugeben, das er besser hätte bleibenlassen sollen. Zumal für manche Operation auch Admin-Rechte schon ausreichen, um das System in Unordnung zu bringen und das erst in Lion so zusätzlich eingeschränkt worden ist, dass dem Admin in größerem Stil Rechte entzogen worden sind, die er in allen Vor-Lion-Versionen noch hatte.

Ich würde an Deiner Stelle deshalb mal nicht allzu deutlich in Richtung Windows-Plattform zeigen, denn mal völlig davon abgesehen, dass sich da seit einigen Windows-Iterationen dort ganz gehörig was getan hat -- die Standardvorgabe ab Werk bei MacOSX (1 eingerichteter Nutzer, und der ist Admin, und kein Hinweis darauf, dass der Nutzer im Sinne größerer Sicherheit doch als erste Amthandlung doch bitte einen weiteren Standardaccount einrichten möge, der mit weniger Rechten ausgestattet ist) ist immer noch aus der Ära, die Du der Gegenseite anlastest.

Bevor Du da also in einem Anflug an falscher Überheblichkeit über andere lästerst, solltest Du für gewahr haben, dass vor der Haustüre von MacOSX genug Drekc rumliegt, der erstmal weggeschafft werden sollte. Und dann erst kann man sich drüber auslassen, was woanders ggf. im Argen liegt. Anscheinend kennst Du Dein System genauso wenig wie ein durchschnittlicher Windows-Nutzer sein System kennt. Und der durchschnittliche Mac-Nutzer lässt sich genauso hinters Licht führen und austrickens wie der durchschnittliche Windows-Nutzer. Möglicherweise sogar noch eher, weil die Mac-Nutzer diesbzgl. jahrelang wie es scheint, auf einer Insel der Glückseligen gelebt haben. Durch die steigende Verbreitung der Mac-Plattform ändert sich das aber derzeit so allmählich, für die Schadprogrammschreiber nähert sich der Verbreitungsgrad der Mac-Plattform ganz langsam dem magischen Bereich an, an dem die überhaupt anfangen, einen Gedanken an die Mac-Plattform als Ziel-Plattform zu verschwenden und einen Finger krumm zu machen.

Der sierkb mal wieder. Dir ist nicht klar, was ein OS X-Admin ist: "Administrator ungleich System"

Es ist ganz einfach: Solange man seine Software nicht aus dunklen Quellen bezieht, kann man sich diese Art Trojaner nicht einfangen.

Immerhin kann man Sophos nicht vorwerfen, mit solchen Meldungen bei den den privaten Mac-Usern abzuzocken, denn das Sophos Anti-Virus ist für Private Anwender kostenlos. Ich habe das im Einsatz und es benötigt relativ wenig Ressourcen.

Von AV-Software rate ich ab – und das tuen die bekannten Hacker auch:

@sierkb
hab deinen ellenlangen Text nicht gelesen da du es nicht kapierst! Was heizt bei Mac OSX vom User ausgeführt? Richtig er muss sein Passwort eingeben und das kann auch kein Ajaxoderwaswaeissichgedöns! Und Dein gelabber über Adminrechten in Mac OS zeigen das Du keine Ahnung hast vom Aufbau des Systems! Und wer weiss was er lädt und ausführt (evtl. illegale Sachen) der muss dann auch mit dem Risiko leben ABER dieses auch explizit erlauben Aber Dein Blabla zeigt dass du nicht im geringsten die Unterschiede im Systemaufbau der beiden Systeme kennst warum soll ich da noch was erklären!?

Soso, du rätst davon ab. Dazu zwei Fragen:
- Cui bono? - Wem es nützt, der hat das Verbrechen begangen.
- Was sagen die unbekannten Hacker? Also die richtig unbedeutenden Typen der Szene..

So ein Dummfug! Man muss inzwischen keine dunklen Quellen anfahren, um sich sowas einzufangen! Ausnahmslos JEDE Webseite ist diesbzgl. dazu geeignet, komprommittiert zu sein und Schadsoftware auf völlig unverdächtigen Webseiten den Leuten unterzujubeln! Und genau das findet seit einiger Zeit auch statt!

Nicht nur die Webseiten von Prominenten (weil die gerne angesteuert werden von den Benutzern). So seriöse Webseiten wie z.B. auch die Treiber-Downloadseite von Lenovo ist dem auch schon mal zum Opfer gefallen und hat, ohne dass die Betreiber das zu Anfang mitbekomemn haben, Schadsoftware unters Volk gestreut. Oder auch vor wenigen Wochen Oracle mit seiner MySQL.com-Seiten, die gehackt worden sind und die für wenige Stunden unentdeckt einen Trojaner unters Volk gestreut haben! In den Stunden, in denen das unentdeckt war von Oracle, haben mehrere 10.000 Besucher diese Webseiten besucht. Und sich wahrscheinlich auch was per Drive-by-Download eingefangen.

Gerade die unverdächtigen, die seriösen Webseiten sind es, die diesbzgl. seit einiger Zeit vermehrt so ein Zeugs verbreiten, weil sie still und heimlich gehackt bzw. manipuliert worden sind und die dann auf diese Weise Schadsoftware verstreuen. Und da kann es JEDEN seriösen Anbieter von Inhalten im Web treffen, der auf diese Weise als Verteiler missbraucht wird! Ohne Ausnahme.

Mir scheint, hier blenden einige ganz erfolgreich aus, was hier inzwischen Alltag und Realität ist!

Irgendwelche dubiose Seiten oder Porno- oder Warez-Seiten waren gestern! Heute wird das ganze Zeugs verteilt über ganz normale Webseiten, je seriöser und je mehr Besucherverkehr umso besser! Gerade auch der vor wenigen Wochen gewesene Fall bzgl. MySQL.com hat viel Aufsehen erregt in der Branche -- ausgerechnet dem IT-Dickschiff und Server- und DB-Spezialisten Oracle ist das passiert!