Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

So entfernt man im Fall des Falles die Spyware OSX/OpinionSpy

Der Sicherheitsspezialist Intego hatte am Dienstag eine Warnung vor "OSX/OpinionSpy" herausgegeben. Es handelt sich dabei um Spyware, die Daten des Computernutzers ausschnüffeln und dann an fremde Server verschicken soll. Diese Spyware ist allerdings nicht in einem Programm versteckt, sondern wird bei der Installation nach Eingabe des Admin-Kennworts aktiviert. Wer sich bei den bekannten Software-Portalen bestimmte Bildschirmschoner herunterlädt und diese dann auf seinem Mac einsetzen möchte, öffnet der schädlichen Software Tür und Tor. Betroffen sind die Bildschirmschoner der Firma 7art-screensavers. Auch ohne teure Virenschutzsoftware zu erwerben ist es möglich, die Spyware von Hand zu entfernen.

Ob der eigene Mac infiziert ist, sieht man im Programm Aktivitätsanzeige. Lässt man sich dort "Alle Prozesse" aufführen, so taucht auf infizierten Systemen ein Eintrag namens "PremierOpinion" auf. Bei der Installation der genannten Bildschirmschoner wurde dieser Prozess installiert, kann aber einfach wieder aus dem System getilgt werden:
Im Programmordner befindet sich dann ein Order mit gleichem Namen (und dem installierten Bildschirmschoner), also "PremierOpinion". Wird dieser in den Papierkorb geworfen und der Mac neu gestartet, ist die Spyware Geschichte.

Um den Papierkorb sofort entleeren zu können, muss unter Umständen auch die alt-Taste gedrückt werden. Wer keinen der auf "Clock ScreenSaver v.2.8" endenden Bildschirmschoner installiert hat, ist ohnehin nicht betroffen und wird auch PremierOpinion nicht auf dem Mac vorfinden. Der Trick zur Entfernung des Dienstes stammt übrigens aus der Feder Roman Rusavskys von 7art-screensavers. Er weist darauf hin, dass lediglich der Ordner gelöscht werden muss, zusätzliche Schutzsoftware sei gar nicht nötig.

Weiterführende Links:

Kommentare

fronk
fronk03.06.10 19:28
Entlehren oder entleeren?
Haters, go away and hate yourself!
0
rene204
rene20403.06.10 19:33
Du hast noch vergessen, das auch die alt-Taste mit gelöscht werden muss....


Gelassenheit und Gesundheit.. ist das wichtigste...
0
Gerhard Uhlhorn03.06.10 19:33
Ich dachte, Apple hat einen Trojaner-Scanner in Safari Eingebaut?!? Sollte der nicht inzwischen diesen Trojaner filtern können?
0
Waldi
Waldi03.06.10 19:33
Die alt-Taste zu löschen stelle ich mir auch abenteuerlich vor
vanna laus amoris, pax drux bisgoris
0
Gent
Gent03.06.10 19:33
Um den Papierkorb sofort entlehren zu können, muss unter Umständen auch die alt-Taste gelöscht werden.


Jou, löschen se mal ihre alt-Taste - gelehrt ist gelehrt!
0
csd03.06.10 19:40
Wieso gibt man sein okay zur Installation eines Programms, das man selbst nicht geladen hat? Wer sitzt da vor dem Rechner?
0
Modulonatic
Modulonatic03.06.10 20:06
csd
Man hat es selber geladen da man wahrscheinlich nicht wusste das es Spyware ist.

Es steht nirgends das es sich automatisch heruntergeladen hat...
Creative Commons Attribution-Noncommercial-No Derivative Works 3.0 Unported //There is more to reality than meets a normal eye
0
csd03.06.10 20:15
Modulonatic
Zitat aus der englischen Anleitung:
In future, ask yourself why a program you haven't downloaded would be asking to have your administrator password - and don't give it.
Soweit ich das verstanden habe, wird mit dem Bildschirmschoner ein Code herunter geladen, der dann die Spyware lädt. Diese möchte sich dann installieren und OS X fragt nach dem Admin-Passwort.
0
Aronnax03.06.10 20:48
Ich dachte, Apple hat einen Trojaner-Scanner in Safari Eingebaut?!? Sollte der nicht inzwischen diesen Trojaner filtern können?
Safari warnt vor Seiten, bei denen bekannt ist das diese Schadsoftware verbreiten (und Phishing-Seiten). Gefiltert und gescannt wird nichts.
Die Datenbank dieser Seiten kommt übrigens von Google. Ach ja, die anderen Browser haben den gleichen Kram.
0
csd03.06.10 20:49
Noch ein Link zu einem Artikel zu diesem Thema auf zdnet.de:
0
PeteramMeter03.06.10 20:49
och Uhlhorn.. hättest du dich nicht so dermassen verrant..:-/

Für diejenigen, welche es interessiert: Andere aktive OSX Trojaner

OSX_JAHLAV.K
OSX/Tored-A
OSX.Iservice
OSX/RSPlug-A
OSX/HellRTS.D
OSX/Inqtana.A
OSX.Iservice.B
OSX/Jahlav-D
OSX/RSPlug-B
OSX/Jahlav-C
OSX.Trojan.iServices.C
OSX/RSPlug-F
OSX.RSPlug.D
AppleScript.THT
OSX.Lamzev.A
Bei einigen Berichten hast der Herr Uhlhorn auch mitdiskutiert.

Zu oben genannten kommen noch einige Proof of Concepts dazu. Und einige, welche noch nicht in freier Wildbahn zu finden sind. Beide Gruppen nicht kritisch.

Viellelicht auch Interessant, aus 2009:
Bei der Suche nach Gründen für die geringe Anzahl an Schädlingssoftware für Mac OS X wird immer gern auf den im Vergleich zu Windows deutlich geringeren Verbreitungsgrad der Mac-Plattform verwiesen. Wie nun Dmitry Samosseiko von Sophos auf der Virus Bulletin 2009 Konferenz berichtet, scheint dies zumindest bei Malware wohl tatsächlich einer der Gründe für das geringe Interesse von Hackern am Mac zu sein.
auch interessant
Sophos konnte eine mittlerweile wieder eingestellte Webseite, die mit solchen gehackten Computern handelte, einige Zeit beobachten. Dort lag der Wert für einen gehackten Mac gerade mal bei 43 US-Cent, während für ein Windows-System immerhin 50 bis 55 Cent geboten wurde.

MacBootnetze gibts ja auch schon, bei der geringen OSX Verbreitung sind die aber nicht bedeutend.

Wie auch unter Win ist das Hauptrisiko der User. Weniger das System selber.

0
Sito
Sito03.06.10 20:58
Wäre ja nicht das erste Mal, dass Entwickler von Antivirensoftware für den Mac aus nachvollziehbaren Gründen mehr Panik machen als nötig... Ich hatte noch nie einen dieser ominösen Viren. Mir scheinen diese daher mehr in der Mac-Presse unterwegs zu sein als auf Macs.
Ich fänd's mal spannend zu erfahren, wie viele Leute sich nun tatsächlich diesen Trojaner "eingefangen" haben.
Dazu lässt sich doch sicher eine kleine Umfrage starten...
Ein Pferd hat drei Beiner; hat's mal keiner, umfallt.
0
Mac M.
Mac M.03.06.10 21:08
Infos zu Safari und Trojanern finden sich auf der Supportseite von Apple diese:
Mac OS X 10.4: Safari kann unsichere Ladevorgänge verhindern

Informationen zu Malware

Schützen Ihres Computers vor schädlichen Programmen


Beim letzten steht u.A.:
"Wichtig: Wenn Sie eine Programmwarnmeldung erhalten und Sie nicht davon ausgehen, dass es sich bei der betreffenden Datei um ein Programm handelt, öffnen Sie die Datei nicht. Löschen Sie die Datei von Ihrem Computer."

Wenn Safari eine Warnung brächte, wäre es noch besser.
0
zornzorro03.06.10 22:41
gähn, schnarch...
0
user_tron03.06.10 23:03
peterammeter

die von dir erwähnten trojaner sind schon nicht mehr war
Ich erwarte von niemanden Zustimmung für meine persönlichen Ansichten ;-)
0
Gerhard Uhlhorn03.06.10 23:06
Aronnax
Gefiltert und gescannt wird nichts.
MacTechNews.de:
Snow Leopard scannt Downloads nach Viren und Trojanern
Quelle:
0
Gerhard Uhlhorn03.06.10 23:10
Hat jemand mal einen Link? Ich will testen, ob der Trojaner inzwischen erkannt wird.
0
PeteramMeter03.06.10 23:44
@user_tron:
was blubberst du wieder? "sind schon nicht mehr war" ?? Naja, wohl dein sinnfreies rumgetrolle.

@Uhlhorn.. du hast die Funktionsweise des download"scann" und das Problem bei Trojanern wie dem hier nicht verstanden Und du solltest nochmals nachlesen wo und wie gescannt wird mit welcher Erkennung und heuristik. Aber mit dir über Sicherheit zu diskutieren hat sich in der Vergangenheit als ziemlich sinnlos erwiesen. Das Problem wurde schon mal bei anderen Trojanern erwähnt. Aber bei sowas hast du ja immer auf Durchzug gestellt
0
user_tron04.06.10 00:50
peterammeter

du stinkst nach uni
Ich erwarte von niemanden Zustimmung für meine persönlichen Ansichten ;-)
0
PaulMuadDib04.06.10 06:52
Wieso hat eigentlich heise nix davon berichtet? Oder haben die das so gut in ihrer Beitragsüberschrift versteckt? So etwas würde doch garantiert hohe Klickraten bei den dortigen Trollmassen generieren. Oder haben die sich das für heute aufgehoben?

Ich werde heute mal auch bei Symantec nachforschen, ob das Ding bei denen auch bekannt ist. Das ist doch irgendwie merkwürdig, das ganze. Warum mache ich ausgerechnet einen Bildschirmschoner zum Trojaner? Oder sind die so populär? Warum nicht ein nützliches Programm dafür nehmen?

Ich finde das irgendwie immer noch merkwürdig. Vor allem, da es anscheinend keine Virwarnung gegeben hat.
0
PeteramMeter04.06.10 09:43
stimmt ja, der User_tron hat mit jedem Probleme der auf einer Uni ist oder auf einer Uni war.
0
PeteramMeter04.06.10 09:46
@PaulMuadDib
Nur eine wilde Spekulation: vielleicht sind Bildschirmschoner- Herunterlader etwas unvorsichtiger? Oder vielleicht hielten es die Macher für besser, ein kleines unauffälliges Programm zu nehmen?

Bildschirmschoner sind ja auch unter Windows beliebte Überträger von Krankheiten.
0
user_tron04.06.10 10:47
peterammeter

nur mit dummstudierten die einen beruf ausüben, wo man nicht studiert haben muss, so wie eure eminenz...
Ich erwarte von niemanden Zustimmung für meine persönlichen Ansichten ;-)
0
PeteramMeter04.06.10 11:35
@user_tron...
Ach, woher kennst du denn meinen Beruf?

Mal abgesehen davon.

Wenn man sich also auf einer Uni weiter bildet, sein Wissen erweitert. Obschon es der (angestrebte) Beruf nicht unbedingt nötig macht. Ist das deiner Ansicht nach was schlechtes?? Da du anscheinend mit solchen Leuten Probleme hast

Du scheinst erhebliche Minderwertigkeitskomplexe zu haben.

Ich geh mal davon aus, dass du aufgrund mangelnder Intelligenz keine sinnvollen Post in diesem Forum hinbringst und auch aufgrund dessen Probleme mit Uniabsolventen hast. Wurde dir dein Berufswunsch verwehrt, da du nicht auf die Uni kannst? Dein Frust scheint sehr tief zu sitzen.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.