Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum>Software>Trojaner auf dem Mac einfangen ?!

Trojaner auf dem Mac einfangen ?!

TF 9225.02.1522:06
Hallo Leute,

ich bin einer von den Idioten die von der MasterCard e-mail auf den Link geklickt hat,...
ABER ich habe nicht das Formular ausgefüllt hat...

Besteht die Möglichkeit, dass ich mir durch diese Aktion einen Trojaner eingefangen habe & wenn Ja, wie kann ich das überprüfen lassen ?!


Danke & Gruß
0

Kommentare

Hannes Gnad
Hannes Gnad25.02.1522:08
Abgesehen davon, daß es bei einem aktuell gepatchten OS X relativ unwahrscheinlich ist, sich nur durch den Klick auf einen Link etwas einzufangen (geht gar nicht so leicht, so viele Trojaner für OS X gibt es bisher gar nicht usw.), gibt es u.a. dieses Tool für einen Test:

http://www.etresoft.com/etrecheck
0
TF 9225.02.1522:14
Danke für die schnelle Antwort, gibt es einen Separaten Punkt wo Trojaner dann aufgeführt werden bei diesem Programm ?!

Ganz unten steht "Self test-passed" ; also bestanden....
Kann ich dem Programm vertrauen oder sollte ich lieber noch zu einem "Fachmann" ? -- Wenn ja zu welchem ?! (Apple-Store, Gravis)
0
MikeMuc25.02.1522:26
Stell das log bei pastebin.org ein und poste den Link hier. Dann gibts hier nicht ein ewig langes post oder mehrere davon.
0
TF 9225.02.1522:36
http://pastebin.com/wSpUhYgf

Hier einmal der Link vom Test !
0
john
john25.02.1522:42
malware hast du scheinbar nicht auf dem mac, aber ich frag mich ob es wirklich sein muss, dass du ne kernel extension für sowas triviales wie ne maus hast..
desweiteren kannst du aus deinen startobjekten mal den hp kram rauswerden (und bei der gelegenheit auch gleich deinstallieren)
„biete support. kostenlos, kompetent und freundlich. wähle zwei.“
0
TF 9225.02.1522:46
wie werd ich den HP-Kram den los aus den Startobjekten ?!
0
TF 9225.02.1523:09
So aus dem Starobjekt die HP-Sachen auch entfernt !

Gibt es evtl noch ein anderes Programm mit dem ich testen kann ob ich was auf meinem Mac habe ?!

Danke euch.
0
Tom
Tom26.02.1500:15
Mach Dich nicht verrückt. Das schlimmste was passieren könnte, dass Du durch das Öffnen des Links deine Emailadresse bestätigt hast ...

Wenn im Download-Ordner nix Seltsames drin ist, hast Du dir auch nichts runtergeladen/eingefangen ...
0
TF 9226.02.1509:04
E-Mail adresse ändern/löschen oder reicht einfach eine Passwortänderung ?!
0
de hoen26.02.1509:36
*g* Passwort ändern schadet nix, sollte aber nicht nötig sein. Du bist mit der (vermutlichen) Bestätigung der Adresse evtl. in viele Spam Verteiler aufgenommen worden und bekommst zukünftig worst case mehr unerwünschte Mails.
0
Marcel_75@work
Marcel_75@work26.02.1509:50
Wenn Du Dir immer noch unsicher bist, kannst Du Dir ein Antivirentool installieren - Sophos AntiVirus for Mac:

Das ist für den Privatgebrauch kostenfrei und reicht völlig aus (bei Tests ist es immer unter den ersten drei Plätzen).

Und im Gegensatz zu ClamAV erkennt es auch jede Menge PC-Malware, die ClamAV geflissentlich ignoriert bzw. übersieht (ClamAV hat einer Erkennungsrate von unter 70%, die erstplatzierten Tools 98 oder sogar 99,x%).

Wenn Du Sophos installiert hast, aktualisiere als erstes die Datenbank über das Menület. Dann mache einen Full-Scan Deiner Macintosh HD.

Du kannst das Programm auch wieder komplett entfernen danach, im Programme-Ordner liegt neben Sophos AntiVirus der Sophos Uninstaller (sehr vorbildlich, sonst würde ich das Tool auch nicht empfehlen).

PS: Genau genommen müsstest Du Deiner Rechner von einer Linux-CD starten und diese dann nach Trojanern etc. scannen lassen (es gibt da eine, die 4 verschiedene Scanner beinhaltet). Aber da Du Deine Macintosh HD wahrscheinlich verschlüsselt betreibst, ist dafür etwas mehr Aufwand nötig und ein Experte an Deiner Seite sicher ratsam ...

Von daher erst einmal nur Sophos, das sollte nach Deiner Beschreibung, was Du überhaupt gemacht hast, ausreichen.
0
TF 9226.02.1516:50
Hier einmal der Test mit Sophos !

http://pastebin.com/Vp2nY6MM

Wie kann ich denn die 5 Probleme beheben/löschen ?!
0
breaker
breaker26.02.1516:54
Das kannst du ignorieren, was da an "Problemen" steht.
0
TF 9226.02.1516:57
@Marcel_75@work ...

Sind die Einstellung bzgl. Threats richtig oder sollte ich eine andere Kombi nehmen ?!
Kenn mich nicht so gut damit aus ...
0
Marcel_75@work
Marcel_75@work26.02.1520:05
TF 92: Also zuerst einmal - wie breaker schon korrekt anmerkte, kannst Du die von Sophos gemeldeten Probleme ignorieren, siehe dazu auch:



Die Sache mit den "Threats" ist in Sophos AV etwas, wie soll ich sagen, "unglücklich" formuliert ...

Denn "Threat löschen" bedeutet z.B., dass diese "Treffer" nur aus der Threat-Liste gelöscht werden, die betroffenen Dateien bleiben also unberührt (und würden somit bei einem erneuten Scan erneut gemeldet werden).

Und "Threat bereinigen" ist im Prinzip auch Quatsch, da ich noch nie erlebt habe, dass eine infizierte Datei von einem Virus/Trojaner "bereinigt" werden konnte (denn das ist damit gemeint).

Bei Deinen Ergebnissen ist das aber wie gesagt sowieso ein anderes Phänomen, verschlüsselte Dateien sind als solche erst einmal nicht gefährlich, wenn Dich diese Warnmeldungen von Sophos aber nerven, kannst Du die betroffenen Dateien natürlich löschen (also im Finder oder per Terminal).

Und die "beschädigte" Datei (Angry Birds 4.2.0.ipa) würde ich tatsächlich mal löschen und schauen, ob nach einem neuen iPhone-Backup per iTunes die Datei immer noch als "beschädigt" gemeldet wird.
0
Marcel_75@work
Marcel_75@work26.02.1520:13
PS: Bei der Linux-Live CD inkl. diverser Virenscanner sprach ich übrigens vom Desinfec't Projekt des heise-Verlages (mir war vorhin nur nicht mehr der Name eingefallen).



In einigen Wochen dürfte auch die neue Version Desinfec't 2015 anstehen (ist dann eine Beilage der c't).
0
Marcel_75@work
Marcel_75@work26.02.1520:35
Ach ja, ein paar Tipps noch zum Schluss:

1. Stelle in Apple Mail ein, dass extern eingebettete Medien nicht automatisch geladen werden (Mail/Einstellungen/Darstellung und da den Haken entfernen bei "Entfernte Inhalte in Nachrichten laden"). Das verhindert zuverlässig, dass Spam-Versender sofort mitbekommen, dass Deine E-Mail-Adresse echt ist. Bei HTML-Mails, die in Ordnung sind (also kein Spam), kannst Du die externen Inhalte dann natürlich trotzdem noch nachträglich laden und anzeigen lassen.

2. Wenn Du Spam-Mails erhältst, markiere sie immer erst also solche (falls das nicht schon automatisch passiert ist) und lösche sie erst dann. Wenn Dir der in Apple Mail eingebaute Spam-Filter nicht gut genug ist, ist SpamSieve eine wirklich zuverlässige Erweiterung:

3. Super ist auch, wenn man Spam bei SpamCop meldet:
Hilft Dir zwar nicht sofort persönlich, aber der Community im Allgemeinen, und umso mehr dort mitmachen, desto besser für jeden von uns (also letztlich auch für Dich).

Eine Sache noch: Deine Flash-Player-Installationen kommen hoffentlich aus zuverlässiger Quelle, also von der Original-Adobe-Seite? Ich frage so blöd, da Flash ein beliebtes Ziel diverser Trojaner war (und sicher auch noch ist), also auch unter OS X. Die Rede ist von Installern, die angeblich Flash installieren, in Wirklichkeit aber Malware auf Dein System schmuggeln.

Allgemein solltest Du Fremdsoftware abseits des Apple App Store sonst besser bei MacUpdate beziehen:

Sinnvoll ist aber auch dort, dann auf die Sterne-Bewertungen zu achten, damit Du Dir nicht solchen Unsinn wie z.B. MacKeeper installierst …
0
dom_beta30.03.1521:40
gibt schon Trojaner



wundert mich nur, warum ClamXAV das nicht erkennt.
„...“
0
john
john30.03.1521:46
du hast genieo gescannt. herzlichen glückwunsch.
„biete support. kostenlos, kompetent und freundlich. wähle zwei.“
0
dom_beta30.03.1522:34
dom_beta
wundert mich nur, warum ClamXAV das nicht erkennt.
„...“
0
sierkb31.03.1502:31
Nur mal nebenbei, weil OT:
dom_beta


wundert mich nur, warum ClamXAV das nicht erkennt.

Du irrst bzw. die Quelle, auf die Du Dich berufst, ist ungenau und macht diesbzgl. eine Falschaussage.
Sowohl Clamav als auch das darauf aufsetzende ClamXav haben sehr wohl Signaturen für OSX.Genieo Varianten vorliegen:

cf32d2841d7065a926c9d599fde05a9b:470144:Adware.OSX.Genieo.I (ClamXav, Datei des Links identisch mit der lokalen Signatur-Kopie: /usr/local/clamXav/share/clamav/ClamXav.hdb)

daily.cvd Osx.Trojan.Genieo-1 9:*:566f6c756d65732f55706461746547656e69656f{-25}69656f006861{-380}7365745f73656172636850726f7669646572 (Clamav daily.cvd)

ClamXav benutzt sowohl die Signatur-Dateien von Clamav (main.cvd und daily.cvd ) als auch seine eigenen, ergänzenden beiden ClamXav.ndb und ClamXav.hdb , welche vom ClamXav-Entwickler selber persönlich gepflegt werden, weil die Clamav-Leute manchmal nicht so in die Puschen kommen. Ergänzende, inoffizielle Signatur-Dateien anzubieten und einzubinden in Clamav ist zulässig und wird bspw. auch an anderer Stelle (Third-Partie) angeboten: , .

Die vom ClamXav-Entwickler angebotenen und von ClamXav ebenfalls eingesogenen ergänzenden Signaturen erweitern die vom Clamav-Team angebotenen Signaturen recht stattlich mittlerweile. Somit sollte sich die Aussage, ClamXav hätte nur eine schlechte Erkennungsrate, weil auf Clamav aufsetzend und die Clamav-Leute eher den viel größeren Windows-Schadprogramm-Markt mit Signaturen bedienen und dort ihren Fokus haben (weil die sich nicht umstimmen ließen, ist ClamXavs Entwickler, Mark Allan, irgendwann selber tätig geworden und bietet seit einiger Zeit zusätzliche, den Mac im Fokus habende Signaturen an, da das Clamav-Team den Mac betreffend nicht selten zu lahm dazu ist und dort nicht viele sitzen, die ein Auge auf den Mac Malware-Markt haben, obwohl es einen offiziellen Aufruf gibt an die Community, ClamXav ist Teil der Community, doch bitte mitzuhelfen beim Einreichen von Signaturen), mittlerweile relativieren und ClamXavs Erkennungsrate signifikant anheben.

Alles steht und fällt mit diesen Signaturen bzw. diesen Signatur-Dateien, davon hängt die Erkennung ab. Äquivalent bei Apple: XProtect.plist. Sind die nicht regelmäßig gepflegt vom jeweiligen Anbieter und auf dem neuesten Stand, hängt die Erkennung hinterher, und irgendwas rutscht ggf. durch (bei XProtect.plist systembedingt sogar noch viel eher der Fall, weil leichter umgehbar und Apples diesbzgl. Pflegepolitik notorisch unzuverlässig und lückenhaft).
0
dom_beta31.03.1502:53
Wie gesagt, ich habe mir bewusst einen solchen Trojaner heruntergeladen aber ClamxAV meint, alles clean.
„...“
0
sierkb31.03.1503:17
dom_beta
Wie gesagt, ich habe mir bewusst einen solchen Trojaner heruntergeladen aber ClamxAV meint, alles clean.

Du siehst die beiden Signaturen. Sie existieren. Prüf's selber nach. Sind Deine lokalen Signaturen/Definitionen aktuell (wenn nein, vielleicht mal das Aktualisieren per Hand anstoßen z.B. im ClamXav Wächter-Menü oder auch im Hauptprogramm ClamXav selber bzw. in dessen Konfigurationseinstellungen die regelmäßige Aktualisierung der Signaturen/Definitionen aktivieren)?
Zudem: wo hast Du Dir den Trojaner bewusst runtergeladen? Falls es eine neue Unterart sein sollte, für die noch keine Signatur existieren sollte – bei Clamav das entsprechende Sample hier schon eingereicht, damit's untersucht werden und eine passende Signatur erstellt und bereitgestellt werden kann?

ClamXav FAQ 14. I think this file is malicious but ClamAV didn't find any malware. How can I be sure?
und
ClamXav FAQ 15. Where can I submit files which are definitely malware but are undetected by ClamXav?
beachtet und nachgegangen?
0
dom_beta31.03.1503:25
sierkb
Zudem: wo hast Du Dir den Trojaner bewusst runtergeladen?




via



so was blödes, man da nicht die URL angeben
„...“
0
sierkb31.03.1522:11
dom_beta
Wie gesagt, ich habe mir bewusst einen solchen Trojaner heruntergeladen aber ClamxAV meint, alles clean.
sierkb
Zudem: wo hast Du Dir den Trojaner bewusst runtergeladen?

via

Danke für den Hinweis. Habe noch heute mitten in der Nacht diese beiden URLs weitergeleitet zur weiteren Überprüfung an den ClamXav-Entwickler Mark Allan bzw. seinen Gehilfen Al Varnell.
Nur wenige Stunden später, seit heute Nachmittag ca. 15 Uhr, hat es ein Update geben der Signaturdatei von ClamXav , und es befinden sich 4 neue Signaturen drin bzw. 2, die wohl direkt mit Deiner genannten Download-Seite zu tun haben, wenn ich mir den Namen und die Beschreibung der herunterzuladenden Datei so anschaue:
Welcome to the MacFest download Page.
MacFest is required to encode and/or decode (Play) audio files in high quality.
The plugin is designed as a user-friendly solution for playing all your movie files on the web.
Please Note:
The installer that is being downloaded from this page contains no UI.
By running the file being downloaded you will install the MacFest Mac OS Plugin in Safari, Chrome and Firefox.
MacFest installation takes only 5 seconds.

When you have completed the installation of the video codec, you will be able to play movies and videos in high quality.

aaa369624f346478061dc65b27714bc1:461221:OSX.Adware.MacVX.A
83cfee1ad674d8a10536311fea59b6d0:1116096:OSX.Adware.MacVX.A
89d6d1135fd613670224ac57a883c4eb:457137:OSX.Trojan-Downloader.MacFest.A
d034ae1ab131505c3ddb1ef6f4dfa1e5:1124528:OSX.Trojan-Downloader.MacFest.A

Probiere den Download von der betreffenden Site jetzt nochmal und scanne Die Datei dann mit ClamXav nochmal.
Ich bekomme nun dieses Ergebnis:

Starte Scan…

----------- Zusammenfassung -----------
ClamXav Version: 2.7.5
Engine Version: (null)
Gescannte Dateien: 1
Infizierte Dateien: 1

SCAN_QUARANTINED

Im Detail, dem Scan-Log zu entnehmen:
Future Cop_ LAPD.dmg: OSX.Trojan-Downloader.MacFest.A.UNOFFICIAL FOUND

Scannt man die betreffende Download-Seite mit dem VirusTotal Browser-Plugin, gelangt man auf diese Analyse-Ergebnis-Seite , wo diese Download-Seite von verschiedenen Diensten bereits als "Malicious site" bzw. "Malware site" geführt wird, eigenartigerweise von Google Safe Browsing, auf dessen Einschätzung und Definitionsliste bzgl. maliziöser bzw. Malware verbreitender Webseiten sich mindestens die Browser Chromium/Chrome, Mozilla Firefox, Opera und auch Apples Safari verlassen (noch) nicht: Clean site.
Ich nehme an, das ändert sich aber bald, damit diese Download-Seite nicht mehr so ohne Weiteres angefahren werden kann und der Browser dann fett und unmissverständlich blockt bzw. warnt.
Sicherheitshalber habe ich soeben die beiden Download-Seiten bei Google Safe Browsing gemeldet, damit die sich die mal ansehen können und Google Safe Browsing die dann auch hoffentlich bald als "Malicious site" führt.

Danke für Deinen Hinweis.

Dass dieser Trojaner nun von ClamXav erkannt und in Quarantäne verschoben wird (wohlgemerkt: durch seine ergänzende und separat gepflegte und heute erneut aktualisierte Signatur-Datei, nicht durch die Signatur-Datei von Clamav), könnte eine direkte Folge Deines Hinweises und meiner nächtlichen Aktion sein, vermute ich jetzt mal. Von daher Danke für Deinen Hinweis, den ich noch heute Nacht sofort weitergeleitet habe. Ich warte noch auf Bestätigung meiner Vermutung von Al Varnell per email.
0
dom_beta01.04.1500:34
sierkb
Danke für den Hinweis. Habe noch heute mitten in der Nacht diese beiden URLs weitergeleitet

l direkt mit Deiner genannten Download-Seite zu tun haben, wenn ich mir den Namen und die Beschreibung der herunterzuladenden Datei so anschaue


Ich nehme an, das ändert sich aber bald, damit diese Download-Seite nicht mehr so ohne Weiteres angefahren werden kann

Warum nimmt man die Seite nicht komplett vom Netz?
„...“
0
sierkb01.04.1500:54
dom_beta
Warum nimmt man die Seite nicht komplett vom Netz?

Bin ich Jesus, wächst mir Gras aus der Tasche? Frag' mich was Leichteres.

Habe Deine beiden Download-Seiten (da wird wohl beim Download teilweise durch rotierendes Redirect auf unterschiedliche Ziel-Webseiten weitergeleitet, von denen das Binary Future Cop_ LAPD.dmg dann heruntergeladen wird) jedenfalls mal gemeldet, sowohl bei Google Safebrowsing als auch bei Stop Badware , sollen die sich weiter drum kümmern. Ob man solche Seiten sperren kann, ist wohl fraglich, aber dass die Browser warnen davor bzw. den Zutritt verweigern, eben mittels der Daten durch Googles Safebrowsing, das wäre eine Maßnahme.

Außerdem habe ich das maliziöse Binary bei VirusTotal hochgeladen zur weiteren Analyse und als Sample, Ergebnis hier: , sowie dasselbe bei Clamav, damit auch das Clamav-Team sich das mal ansieht und eine Signatur erstellt, auch wenn eine solche von ClamXav ja nun existiert, da das aber zwei unterschiedliche Projekte sind mit unterschiedlichen Entwicklern, kann ja ein "Doppelt gemoppelt hält besser" wohl nicht schaden. Im Idealfall gibt es dann in Kürze auch eine Signatur seitens Clamav, sodass die von ClamXav dann entweder auch existiert oder sogar zurückgenommen werden kann, weil es die von Clamav verwendet werden kann.
0
dom_beta01.04.1501:09
sierkb
Bin ich Jesus?

Bist du nicht?

Verdammt
„...“
0
sierkb01.04.1503:07
dom_beta:

Habe soeben eine sehr nette und sehr aufschlussreiche und aussagekräftige email von Al Varnell (ClamXav Co-Maintainer) bekommen, habe sie Dir infohalber per email weitergeleitet. Ich veröffentliche sie hier vorerst nicht, erst recht nicht ohne vorherige Zustimmung des Absenders, weil ich privaten Schriftverkehr nicht einfach so ins öffentliche Netz stelle. Auch wenn in dem Antwortschreiben sehr Interessantes und Wissenswertes zu der gefundenen Schadsoftware, ihrer Verbreitung und der Herkunft der betroffenen Webseiten drinsteht, das sicher noch mehr Benutzer hier interessieren könnte.

Dank geht an Dich zu Deinem Fund und dass Du hier drüber berichtet hast – ohne Dein Zutun hätte ich es nicht melden und was in Gang setzen können.
0
dom_beta01.04.1521:44
dom_beta

und genau das ist der Trojaner, den ich von obiger Seite heruntergeladen habe.

Übrigens, Chrome warnt mittlerweile vom Download von besagter Seite.
„...“
0
dom_beta01.04.1521:47
Allerdings ---

die EXE Datei "Future Cop_LAPD.exe" wird von ClamAV immer noch als "clean" eingestuft; zumindest Scan via VirusTotal.

„...“
0
sierkb01.04.1522:14
dom_beta
Übrigens, Chrome warnt mittlerweile vom Download von besagter Seite.

Bei mir bislang nicht. Wenn ja, wäre das ja schön, und dann müssten das auch Firefox, Safari und Opera auch tun, denn sie alle benutzen ebenfalls Googles Safebrowsing-Listen, um vor gefährlichen Webseiten zu warnen. Mal weiter abwarten.
dom_beta
Allerdings ---

die EXE Datei "Future Cop_LAPD.exe" wird von ClamAV immer noch als "clean" eingestuft; zumindest Scan via VirusTotal.


Ich habe nur Future Cop_LAPD.dmg gemeldet und da was angestoßen – also die Mac-Version der Malware. Und mich um ein evtl. auch noch existierendes Windows Binary nicht gekümmert, dass eine solche auch noch existiert, lese ich jetzt zum ersten Mal. Magst Du das nicht machen? Habe dazu jetzt keinen Bock.
0
dom_beta01.04.1522:28
sierkb
dom_beta
Übrigens, Chrome warnt mittlerweile vom Download von besagter Seite.

Bei mir bislang nicht.

Zumindest Chrome unter Windows 7.
„...“
0
dom_beta11.04.1512:33
ClamXav Version: 2.7.5
Engine Version: 0.98.6

kann die besagte Datei nicht als "infiziert" entdecken.

Es sind aber auch die neuesten Definitionsupdates installiert.
„...“
0
Marcel_75@work
Marcel_75@work18.04.1517:45
PS: In der aktuellen c't 10/2015 wird jetzt übrigens darauf hingewiesen, dass die neueste Desinfec't-CD-2015 mit der c't-Ausgabe 14/2015 erscheint (also ca. Anfang Juni 2015).
0

Kommentieren

Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.