lol

Man sollte sowieso nicht mit dem Admin-Account rumsurfen.
Falls sich dann was installieren will muss es nach dem Adminnamen+Passwort fragen. Wem dann noch immer nix auffällt dem ist nicht mehr zu helfen.

Das ist alles nur Theorie aus Russland

3 zusätzliche Tipps zu Janknets Empfehlung für einen sicheren Mac:

1. Java hat im Browser nichts verloren. Java in Safari ausschalten.

2. Eines der kostenlosen AV-Programme (Sophos, Intego, Avira etc.) installieren

3. Flash deinstallieren (Tool bei Adobe), für Flashseiten nur Google Chrome mit dem integrierten Flash-Player verwenden.

Wie kann ich erkennen, ob mein Mac befallen ist?

Und falls ja, wie wird man den Trojaner wieder los?

Thunderbolt

einen AntiVirenprogramm hab ich zwar auch schon installiert jedoch inaktiv - beim letzten scan hat mir dieses Programm sogar mein System komplett zerschossen (Virus Barrier).
Ich werde keinen Virenscanner auf meinem Mac immer laufen lassen - da kann ich ja gleich zu Windows wechseln.

also mtn- wie wird der trojaner wirklich erkannt, bzw entfernt? und bitte nicht sagen, eine antivierensoftware installieren.
wie heisst das file, das zuviel ist, oder welches ist größer als sonst. wie heisst der task in der aktivitätsanzeige?
sowas ineressiert uns.

wolf2: Intego sagt z.B.:

It’s worth noting that given the reactivity of the creators of this malware, it can be risky to follow instructions presented on some websites about removing it. As the most recent versions of the Flashback malware use random four-character names for files they place in the /tmp folder, you cannot know, simply by looking at these file names, if a file is valid or if it is malware. Deleting files manually, because you think they are malicious, may lead to system problems or instability.

Marcel_75@work

Dann müsste doch ein Neustart helfen, dann sollte /tmp leer sein, und was noch drin ist wird gelöscht und dann nochmal neu starten zur Sicherheit.

Aber da es ja vermutlich eine Ausführbare Datei ist hilft doch auch im Terminal
file /tmp/*
um entsprechendes evtl. zu finden?

MetallSnake: Na da wäre ich eher vorsichtig …

Bei F-Secure gibt es auch ein paar Infos, wie man per Terminal weiter kommt:

PS: Eine Notlösung wäre z.Z. u.a., die IP 95.215.63.38 per hosts-Eintrag zu sperren (bevor man infiziert ist). Aber natürlich kann sich diese IP jederzeit ändern …

Ich persönlich habe sowieso diese Liste hier aktiv:

Was kann dieser Trojaner mit der Backdoor in Safari alles auf dem Rechner anrichten?

Typisch... Flash... das war schon immer die Wurzel allen Übels...

Janknet

Ich habe hier ca. 30 Macs und auf keinem hat ein aktuelles AV-Programm irgendetwas zerschossen. Ich weiss nicht, weshalb es bei dir Ärger gab. Allerdings mag ich die Intego-Produkte nicht, das UI sieht aus wie aus einem Computer-Game.

Janknet: Kann ich ebenfalls bestätigen, was Thunderbolt sagt: VirusBarrier hat hier auch noch nie ein "System zerschossen", weder Version 4 noch 5 noch die aktuelle Version 6.

Retrax:

Welche Backdoor in Safari?

janknet
Das kenn ich. Ich dachte "Wenn ich schon Virus Barrier als Vollversion hier liegen habe, dann installier ichs doch einfach." Ein halbes Jahr später: Neustart nach einem Update: Bis sich ein Finderfenster geöffnet hat sind 10 Minuten vergangen. Bis ich letztendlich das Programm wieder vollständig los war, ca. 3 Stunden. Habe aktuell wieder VirusBarrier drauf, aber das wird demnächst auch wieder deinstalliert. Nie wieder Intego, selbst wenn ich dann Viren bekommen würde.

@zod1988

Und was soll das bitteschön bringen? Im Benutzerordner kann jederzeit auch ohne Passwort installiert werden. Und bei systemspezifischen Installationen wird so oder so nach dem Admin-Passwort gefragt. Ob du nun als Admin angemeldet bist oder nicht.
Der Vorteil eines Admin-Accounts ist dann aber, dass man nur noch sein Passwort eingeben muss und nicht jedes Mal auch noch den Benutzernamen.

heldausberlin

du täuscht Dich!
Mach es so (falls du nur einen Account hast der Adminrechte hat):

Leg nen zweiten Account an, gib diesem Adminrechte und enzieh deinem Account die Adminrechte.
Von da ab musst du für jede kleinigkeit deinen Adminnamen und Passowrt eingeben. Du kannst nichtmal das kleinste Programm irgendwo installieren. Nichtmal deinstallieren geht dann ohne Admin Abfrage!

So sollte jeder seinen Mac einrichten dann ist das gröbste gesichert!

janknet: Das stimmt so aber auch nicht – wie heldausberlin schon richtig anmerkt, kann man sehr wohl ohne Eingabe des Admin-Passwortes Programme installieren, u.a. in einem "Applications"-Ordner, den man sich im eigenen Home-Verzeichnis anlegt. Und natürlich kann man diese Programme dann entsprechend wieder deinstallieren. Nur Programme, die tiefer ins System eingreifen, verlangen zwingend den /Applications Pfad auf der obersten Ebene der Festplatte. Und dann muss man sich eben auch als Admin identifizieren, wenn man mit einem Standard-Account arbeitet.

Der entscheidende Grund, nicht mit Admin-Rechten zu arbeiten ist, dass man so nicht mehr Mitglied der sudoers-list ist und demzufolge keine root-Rechte erlangen kann (auch nicht nach Identifizierung mit Admin-Name und Passwort).

heldausberlin: Und deshalb hat janknet nicht unrecht, wenn er sagt, dass man besser nicht mit Admin-Rechten surft bzw. täglich arbeitet.

Habe das hier kürzlich auch etwas ausführlicher beleuchtet (Standard-Benutzer versus Administrator-Account):

Marcel

danke für die Info, das mit dem Programmeordner wusste ich nicht.
Sämtliche Programme die ich bisher installiert habe haben nach dem Admin gefragt deshalb habe ich gedacht dies ist immer so!

wolf2

Einfach mal bei f-secure vorbeischaun, die haben eine Anleitung veröffentlicht, in der gezeigt wird, wie man einen Befall erkennen und vernichten kann.

Oder einfach folgendes ins Terminal kopieren und ausführen:

retrax

Ah, ganz überlesen. Danke.

Gibt es Avira auch für Mac? Wusste ich gar nicht.Hab ich offensichtlich verpasst. Gleich mal anschauen. Danke jedenfalls für den Tipp

Aha, es muss nur XCode installiert sein (kann auch uralt sein - damit bin ich schon mal raus), oder der Ordner in Library für Little Snitch, o.ä. dann installiert sich die Malware gar nicht erst, sondern löscht sich selbst, siehe, Link von Dayzd:

Die Anleitung zur "Disinfection" hat auch ergeben, das nix da ist.

Jetzt geht das mit der Kontrolle einfacher. Jemand war so nett, und hat ein Skript geschrieben.
http://mashable.com/2012/04/05/mac-flashback-trojan-check/

Genau so funktioniert das Ganze.
Um zu überprüfen ob man infiziert ist lädt man sich ein Script irgendwo aus dem Netz herunter und führt es aus.

Die Malwareprogrammierer freuts.

Ich hab ClamXav. Welche Ordner muss das Antivir denn untersuchen um ne Infektion zu finden? Oder ist der einfach nicht installiert wenn er das app findet auf dem Mac?!

4. WLAN deaktivieren

5. Netzwerkkabel abziehen

6. Stromkabel abziehen

7. im Originalkarton einpacken und im dunklen Keller verstecken

8. einen stabilen Tisch suchen und sich darunter verkriechen


Alternativ zu Punkt 1 - 8: Hirn einschalten