Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

F-Secure berichtet von neuer PDF-Malware gegen Mac-Anwender

Im firmeneigenen Blog berichtet F-Secure von einer Malware gegen Mac-Anwender. Getarnt als PDF-Dokument öffnet die Malware nach einem Klick nicht nur das erwartete PDF-Dokument, sondern richtet im System auch eine Hintertür im Stil von "OSX/Imuler.A" ein, über die Angreifer schließlich Kontrolle über Computer und Daten erlangen können. Der von F-Secure untersuche Malware-Datensatz war allerdings nur unzureichend getarnt, was möglicherweise daran lag, dass ein Teil der Tarnung beim Transport verloren gegangen ist. Anders als unter Windows können in Mac OS X die Dateien über sogenannte Resource Forks verfügen, in denen weitere Informationen wie beispielsweise Icon und Dateityp hinterlegt sind. In so einem Fall besitzt die sichtbare Dateiendung keinerlei Wirkung, womit sich ein Programm perfekt als Dokument.pdf tarnen kann. Die vorliegende Malware ist anscheinend noch ein Testballon, da der hinterlegte Kommunikationsserver für die Hintertür seit Mai nicht weiter verwendet wurde.

Weiterführende Links:

Kommentare

Matchi23.09.11 19:03
Angst? Brauchen wir jetzt doch antiviren Programme?
0
dreyfus23.09.11 19:13
"This malware may be attempting to copy the technique implemented by Windows malware, which opens a PDF file containing a ".pdf.exe" extension and an accompanying PDF icon. The sample on our hand does not have an extension or an icon yet."

In anderen Worten: Wir schlagen Schaum, wer kommt mit? Eine "exe" Extension würde unter OS X auch eine Menge anrichten...
0
sierkb23.09.11 19:26
Weitere Infos dazu:

The Register: Mac malware uses Windows-style PDF camouflage ruse

F-Secure (September 23, 2011): Mac trojan posing as a PDF file

F-Secure Virus Descriptions: Trojan-Dropper:OSX/Revir.A

F-Secure Virus Descriptions: Backdoor:OSX/Imuler.A

Sophos Naked Security (September 23, 2011): Mac OS X Trojan hides behind malicious PDF disguise
0
Wiesodas23.09.11 19:27
Die Übersetzung sagt nur, dass es die Technik mit der getarnten Endung, wie unter Windows mit pdf.exe, kopiert. Nichts darüber, dass die Datei eine exe ist;)
0
sierkb23.09.11 19:44
Matchi:

Du bzw. Dein System nutzt schon eines über MacOSX' Quarantäne-Funktion, ob Du willst oder nicht. Weil Apple es so will und so vorgesehen hat. Nennt sich XProtect, funktioniert im Grunde nicht anders als die Programme, die Du da grad' infragestellst, führt ebenfalls eine Signaturliste für Schadprogramme, kennt dabei aber aufgrund seiner (bisher) kleinen bescheidenen Signaturliste nur einen Bruchteil dessen, was andere voll ausgewachsene AV-Programme so insgesamt an Malware kennen. Macht nach 24 Stunden ebenfalls automatisch und im Hintergrund ein Signatur-Update (vorausgesetzt, eine Internet-Verbindung besteht zu diesem Zeitpunkt). Gibt Dir, wenn was bzgl. der XProtect-Signaturliste passt, per Popup-Meldung Alarm/Nachricht, dass da "irgendwas" ist (mehr dann aber auch nicht).

MacOSX' XProtect-Liste mit Schadprogramm-Signaturen liegt hier:
/System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect

Das hier sind die beiden Referenz-Dateien auf Apples Servers, mit denen sich XProtect regelmäßig automatisch via /usr/libexec/XProtectUpdater abgleicht:

http://configuration.apple.com/configurations/macosx/xprotect/1/clientConfiguration.plist (für Snow Leopard)
und
http://configuration.apple.com/configurations/macosx/xprotect/2/clientConfiguration.plist (für Lion)

XProtect kennt derzeit 19 Schadprogramme (incl. verschiedener Schadprogramm-Variationen desselben Typs) bzgl. MacOSX. So gut wie ausschließlich alles Trojaner. Also genau jener Typ von Malware, der seit Jahren auch Windows-Anwender mit Masse plagt.
Letzte Version von XProtect: 23 (wird nach jeder Aktualisierung +1 hochgezählt)
Letzte Änderung an der Signatur-Liste seitens Apple: Tue, 09 Aug 2011 02:38:55 GMT
0
gentux
gentux23.09.11 20:15
Anders als unter Windows können in Mac OS X die Dateien über sogenannte Resource Forks verfügen, in denen weitere Informationen wie beispielsweise Icon und Dateityp hinterlegt sind.

NTFS kann das auch (Streams), die gehen beim Versand aber verloren. Gezippt sollten sie es aber überlegen.
0
MacMark
MacMark23.09.11 20:36
Spitzen-Tarnung, die ungefähr so aussieht:
Dokument.pdf ist ein Programm, das aus dem Netz heruntergeladen wurde. Wollen sie das Programm wirklich öffnen?
@macmark_de
0
Kovu
Kovu23.09.11 20:37
Wie gut das wir F-Secure haben. Wer würde uns sonst alle paar Monate einen Proof-Of-Concept Trojaner programmieren und dann davor warnen?
0
X-Jo23.09.11 20:42
Macmark
Spitzen-Tarnung, die ungefähr so aussieht:
Dokument.pdf ist ein Programm, das aus dem Netz heruntergeladen wurde. Wollen sie das Programm wirklich öffnen?
Die Tarnung funktioniert, weil 90% der Anwender das Dokument ja öffnen wollen und nicht lange überlegen, was die Meldung jetzt wohl zu bedeuten hat!
0
MacMark
MacMark23.09.11 20:45
Wie Charlie Miller gähnend ganz richtig kommentiert:
0xcharlie: New piece of OS X malware discovered: http://t.co/9SPn5UD3. In related news, 10,000 pieces of Windows malware discovered today.
@macmark_de
0
sierkb23.09.11 20:48
macnn: Mac Trojan may funnel files, screenshots to distant servers :
macnn
Malware currently just minor threat


A newly-detailed Trojan attack is being directed at Macs, say security firms F-Secure and Sophos. Originally spotted in late July, the Trojan relies on two pieces of malware. The first is a downloader identified as "Trojan-Dropper:OSX/Revir.A," which not only retrieves the second piece of software but repeatedly opens a Chinese PDF document -- trojan.pdf -- said to contain offensive political statements. The real purpose of the document is thought to be distracting a person while the second app is downloaded.

Nicknamed "BackDoor:OSX/Imuler.A," the second half of the Trojan configures a launch agent which keeps the malware active, and then connects to a remote server, feeding it a victim's computer username and MAC address. The server can reportedly instruct a besieged system to archive files and upload them, or else capture screenshots for upload. F-Secure comments that Imuler.A currently seems to be working badly or not at all, since it isn't receiving instructions; the company warns, though, that server may simply be in a testing phase, and could later become fully functional.

Both Sophos and F-Secure have produced updated definitions for their antivirus scanners that should cope with the Trojan. Apple has yet to push out new definitions for Lion and Snow Leopard, but the malware is said to be relatively easy to stop manually. People must first stop a process called "checkvir" in the Activity Monitor, and then delete "checkvir" and "checkfir.plist" files from their /username/Library/LaunchAgents/ directory.
0
user_tron24.09.11 00:20
die malware ist wie gewohnt nicht schlimm...
Ich erwarte von niemanden Zustimmung für meine persönlichen Ansichten ;-)
0
sierkb24.09.11 00:51
user_tron
die malware ist wie gewohnt nicht schlimm...

Wenn Du's nicht ernstnimmst -- Apple nimmt's offenbar ernst (jedenfalls ernster als Du). Bzw. hat's bereits ernstgenommen und entsprechend reagiert. Und stellt seit heute abend ein entsprechendes Signatur-Update für die XProtect.plist bereit, welche mittels /usr/libexec/XProtectUpdater und launchd automatisch auf die Rechner der Benutzer gelangt oder bereits gelangt ist. Mit je einer Signatur für OSX.QHost.WB.A (Backdoor) und für OSX.Revir.A (Trojaner, der die Backdoor nachlädt und an Bord holt). XProtect.plist ist nun bei Version 24 (Snow Leopard) bzw. bei Version 1003 (Lion), last mofification: Fri, 23 Sep 2011 18:03:15 GMT.
0
tranquillity
tranquillity24.09.11 09:56
Wie, ich denke Apple ist immer so langsam im fixen
0
derWanderer24.09.11 10:57
Es gibt wohl weit mehr unbedarfte Nutzer eines Rechners als grundsätzlich misstrauische, ohne deshalb gleich Angst zu haben. Deshalb, also weil der Großteil der Nutzer und damit auch der größere Teil am Mac-Nutzerzuwachs ohne viel zu überlegen PDFs öffnet, obwohl der Hinweis auf ein Programm kommt, mal eben so auch brav Kreditkartendaten angibt weil eine Webseite was von entdeckten Schädlingen erzählt in einem Finder-Nachbau, der Programme listet, die viele Nutzer nicht mal auf dem Mac haben, deshalb wird diesen Nutzern mehr und mehr durch XProtect ein bisschen durch Apple geholfen.
Etwas mehr Misstrauen bei Abfragen beim Öffnen einer Datei (Programm aus dem Internet, Admin-Passwort etc.), etwas weniger Features bei Adobe-Software zulassen, nicht alle Programmversionen mit nur neuen Features gleich holen, sondern erstmal warten bis ein-zwei updates später auch die Sicherheitslücken zu diesen neuen features geschlossen sind und aber sonst natürlich auf Sicherheitsupdates achten - damit ist man zwar nicht zu 100% sicher vor Schadsoftware, aber kann auf solche Schreckensmeldungen auch leichter mal drei Wochen warten, bis Apple einen neuen leicht schaumig aufgeschlagenen Schädling mit zu den Erkannten in die Liste mit aufnimmt.
0
sierkb24.09.11 11:50
sierkb
Und stellt seit heute abend ein entsprechendes Signatur-Update für die XProtect.plist bereit [..]. Mit je einer Signatur für OSX.QHost.WB.A (Backdoor) und für OSX.Revir.A (Trojaner, der die Backdoor nachlädt und an Bord holt).

Ich korrigiere mich (sorry, hatte ein manuelles diff meinerseits falsch interpretiert bzw. meine von mir angelegte XProtect.plist.old um eine Version zu alt):

OSX.QHost.WB.A hat mit dem jetzigen Update nichts zu tun, ist kein Backdoor, sondern ein klassischer Trojaner (manipuliert /etc/hosts) und ist Gegenstand des vorherigen XProtect-Updates Nummer 23 vom 09. August gewesen.

Gestern neu hinzugekommen ist bei der XProtect.plist einzig die Signatur für den Trojaner-Dropper OSX.Revir.A, welcher die Backdoor namens OSX.Imuler.A nachladen soll (und dies bislang nicht/noch nicht tut).
Die Signatur für das eigentliche Hauptprogramm, die nachzuladende Backdoor OSX.Imuler.A, steht seitens Apples XProtect allerdings noch aus (ist insofern von Belang als dass es ja nicht zwingendermaßen nur einzig und allein OSX.Revir.A sein muss, welcher die Backdoor OSX.Imuler.A nachlädt).

Diese "Lücke" füllt derzeit u.a. Clamav bzw. ClamXav, dort gibt es seit heute Nacht genau diese in XProtect.plist (derzeit noch?) fehlende Signatur für die eigentliche Backdoor MacOSX.iMuler-1. Und in Kürze dann auch die Signatur für den ersten Teil dieses Zweiergespanns, den Trojaner-Dropper MacOSX.Revir-1 (steht dort derzeit noch in der Überprüfungs-Warteschlange, um's in die daily.cvd zu schaffen).

Ob und wann Apple eine Signatur auch für den 2. Teil, den eigentlichen Hauptteil dieses Zweiergespanns, die Backdoor OSX.Imuler.A, bereitstellen wird, müssen wir abwarten.
0
user_tron24.09.11 16:23
die vgdia exe kopiert sich selbst ohne zulässigen interupt...das gibst doch eigentlich gar nicht, oder ?!
Ich erwarte von niemanden Zustimmung für meine persönlichen Ansichten ;-)
0
user_tron24.09.11 16:27
ich glaub nicht, dass auf dem Mac die nächsten Jahre was kommt...
Ich erwarte von niemanden Zustimmung für meine persönlichen Ansichten ;-)
0
Request
Request25.09.11 13:44
Ach wie süss die paar Fanboys alles wieder als ungefährlich abtun wollen. OS X ist keinen Deut sicherer als ein anderes OS...
1984 - Think different - Macintosh - iPhone / iPad - Think nothing - 2014
0
dom_beta26.09.11 13:39
MacMark
Spitzen-Tarnung, die ungefähr so aussieht: Dokument.pdf ist ein Programm, das aus dem Netz heruntergeladen wurde. Wollen sie das Programm wirklich öffnen?

OSX zeigt dieselbe unsinnige Meldung auch bei simpel heruntergeladenen HTML-Dateien an.

Im Endeffekt, bewirkt Apple genau das Gegenteil.
...
0
Stefan...26.09.11 14:15
Lokale HTML-Dateien mit JavaScript im lokalen Kontext ausgeführt sind durchaus Grund zu warnen.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.