Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Botnetz des Trojaners "Flashback" umfasst 600.000 Rechner

Wie ArsTechnica berichtet, hat ein russisches Antiviren-Unternehmen einen Bericht herausgegeben, nach dem bereits 600.000 Macs von der BackDoor.Flashback-Variante des Trojaners befallen sind. Mehr als die Hälfte davon (56,6%) stehen in den Vereinigten Staaten, 274 gar in Cupertino, Sitz von Apples Hauptquartier. In Deutschland befinden sich dagegen nur 0,4%, was mehr als 2000 infizierte Geräte bedeutet. Der "Flashback"-Trojaner ist in verschiedenen Versionen bereits seit Ende September letzten Jahres aktiv. Er gibt sich als Installationspaket des Flash Players aus, um so das Vertrauen des Anwenders zu gewinnen. Bei der Installation wird schließlich für die Angreifer eine Hintertür in Safari eingerichtet. Zwischenzeitlich konnte der Trojaner gar teilweise den Malware-Schutz von Mac OS X aufheben. Zuletzt nutzte er eine Sicherheitslücke im Java-System von OS X aus, die erst gestern von Apple geschlossen wurde.

Weiterführende Links:

Kommentare

gritsch05.04.12 09:05
Er gibt sich als Installationspaket des Flash Players aus, um so das Vertrauen des Anwenders zu gewinnen.

lol
0
janknet05.04.12 09:16
Man sollte sowieso nicht mit dem Admin-Account rumsurfen.
Falls sich dann was installieren will muss es nach dem Adminnamen+Passwort fragen. Wem dann noch immer nix auffällt dem ist nicht mehr zu helfen.
0
Olivier
Olivier05.04.12 09:19
Das ist alles nur Theorie aus Russland
0
Thunderbolt05.04.12 09:21
3 zusätzliche Tipps zu Janknets Empfehlung für einen sicheren Mac:

1. Java hat im Browser nichts verloren. Java in Safari ausschalten.

2. Eines der kostenlosen AV-Programme (Sophos, Intego, Avira etc.) installieren

3. Flash deinstallieren (Tool bei Adobe), für Flashseiten nur Google Chrome mit dem integrierten Flash-Player verwenden.
0
rudkowski05.04.12 09:21
Wie kann ich erkennen, ob mein Mac befallen ist?

Und falls ja, wie wird man den Trojaner wieder los?
0
janknet05.04.12 09:29
Thunderbolt

einen AntiVirenprogramm hab ich zwar auch schon installiert jedoch inaktiv - beim letzten scan hat mir dieses Programm sogar mein System komplett zerschossen (Virus Barrier).
Ich werde keinen Virenscanner auf meinem Mac immer laufen lassen - da kann ich ja gleich zu Windows wechseln.
0
wolf2
wolf205.04.12 09:46
also mtn- wie wird der trojaner wirklich erkannt, bzw entfernt? und bitte nicht sagen, eine antivierensoftware installieren.
wie heisst das file, das zuviel ist, oder welches ist größer als sonst. wie heisst der task in der aktivitätsanzeige?
sowas ineressiert uns.
raunzen, mosern, sumpern, sudern, was uns bleibt.
0
Marcel_75@work
Marcel_75@work05.04.12 09:56
wolf2: Intego sagt z.B.:

It’s worth noting that given the reactivity of the creators of this malware, it can be risky to follow instructions presented on some websites about removing it. As the most recent versions of the Flashback malware use random four-character names for files they place in the /tmp folder, you cannot know, simply by looking at these file names, if a file is valid or if it is malware. Deleting files manually, because you think they are malicious, may lead to system problems or instability.
0
MetallSnake
MetallSnake05.04.12 09:58
Marcel_75@work

Dann müsste doch ein Neustart helfen, dann sollte /tmp leer sein, und was noch drin ist wird gelöscht und dann nochmal neu starten zur Sicherheit.

Aber da es ja vermutlich eine Ausführbare Datei ist hilft doch auch im Terminal
file /tmp/*
um entsprechendes evtl. zu finden?
Das Schöne an der KI ist, dass wir endlich einen Weg gefunden haben, wie die Wirtschaft weiter wachsen kann, nachdem sie jeden Einzelnen von uns getötet hat.
0
Marcel_75@work
Marcel_75@work05.04.12 10:00
MetallSnake: Na da wäre ich eher vorsichtig …

Bei F-Secure gibt es auch ein paar Infos, wie man per Terminal weiter kommt:

0
Marcel_75@work
Marcel_75@work05.04.12 10:07
PS: Eine Notlösung wäre z.Z. u.a., die IP 95.215.63.38 per hosts-Eintrag zu sperren (bevor man infiziert ist). Aber natürlich kann sich diese IP jederzeit ändern …

Ich persönlich habe sowieso diese Liste hier aktiv:
0
Retrax05.04.12 10:08
Was kann dieser Trojaner mit der Backdoor in Safari alles auf dem Rechner anrichten?
0
superflo
superflo05.04.12 10:09
Typisch... Flash... das war schon immer die Wurzel allen Übels...
0
Thunderbolt05.04.12 10:13
Janknet

Ich habe hier ca. 30 Macs und auf keinem hat ein aktuelles AV-Programm irgendetwas zerschossen. Ich weiss nicht, weshalb es bei dir Ärger gab. Allerdings mag ich die Intego-Produkte nicht, das UI sieht aus wie aus einem Computer-Game.
0
Marcel_75@work
Marcel_75@work05.04.12 10:16
Janknet: Kann ich ebenfalls bestätigen, was Thunderbolt sagt: VirusBarrier hat hier auch noch nie ein "System zerschossen", weder Version 4 noch 5 noch die aktuelle Version 6.
0
zod198805.04.12 10:26
Retrax:

Welche Backdoor in Safari?
0
fynns1996@aol.com05.04.12 11:07
janknet
Das kenn ich. Ich dachte "Wenn ich schon Virus Barrier als Vollversion hier liegen habe, dann installier ichs doch einfach." Ein halbes Jahr später: Neustart nach einem Update: Bis sich ein Finderfenster geöffnet hat sind 10 Minuten vergangen. Bis ich letztendlich das Programm wieder vollständig los war, ca. 3 Stunden. Habe aktuell wieder VirusBarrier drauf, aber das wird demnächst auch wieder deinstalliert. Nie wieder Intego, selbst wenn ich dann Viren bekommen würde.
0
Retrax05.04.12 11:09
@zod1988
Bei der Installation wird schließlich für die Angreifer eine Hintertür in Safari eingerichtet.
0
heldausberlin
heldausberlin05.04.12 11:28
janknet
Man sollte sowieso nicht mit dem Admin-Account rumsurfen.
Falls sich dann was installieren will muss es nach dem Adminnamen+Passwort fragen. Wem dann noch immer nix auffällt dem ist nicht mehr zu helfen.
Und was soll das bitteschön bringen? Im Benutzerordner kann jederzeit auch ohne Passwort installiert werden. Und bei systemspezifischen Installationen wird so oder so nach dem Admin-Passwort gefragt. Ob du nun als Admin angemeldet bist oder nicht.
Der Vorteil eines Admin-Accounts ist dann aber, dass man nur noch sein Passwort eingeben muss und nicht jedes Mal auch noch den Benutzernamen.
0
janknet05.04.12 11:42
heldausberlin

du täuscht Dich!
Mach es so (falls du nur einen Account hast der Adminrechte hat):

Leg nen zweiten Account an, gib diesem Adminrechte und enzieh deinem Account die Adminrechte.
Von da ab musst du für jede kleinigkeit deinen Adminnamen und Passowrt eingeben. Du kannst nichtmal das kleinste Programm irgendwo installieren. Nichtmal deinstallieren geht dann ohne Admin Abfrage!

So sollte jeder seinen Mac einrichten dann ist das gröbste gesichert!
0
Marcel_75@work
Marcel_75@work05.04.12 12:28
janknet: Das stimmt so aber auch nicht – wie heldausberlin schon richtig anmerkt, kann man sehr wohl ohne Eingabe des Admin-Passwortes Programme installieren, u.a. in einem "Applications"-Ordner, den man sich im eigenen Home-Verzeichnis anlegt. Und natürlich kann man diese Programme dann entsprechend wieder deinstallieren. Nur Programme, die tiefer ins System eingreifen, verlangen zwingend den /Applications Pfad auf der obersten Ebene der Festplatte. Und dann muss man sich eben auch als Admin identifizieren, wenn man mit einem Standard-Account arbeitet.

Der entscheidende Grund, nicht mit Admin-Rechten zu arbeiten ist, dass man so nicht mehr Mitglied der sudoers-list ist und demzufolge keine root-Rechte erlangen kann (auch nicht nach Identifizierung mit Admin-Name und Passwort).

heldausberlin: Und deshalb hat janknet nicht unrecht, wenn er sagt, dass man besser nicht mit Admin-Rechten surft bzw. täglich arbeitet.

Habe das hier kürzlich auch etwas ausführlicher beleuchtet (Standard-Benutzer versus Administrator-Account):

0
janknet05.04.12 12:34
Marcel

danke für die Info, das mit dem Programmeordner wusste ich nicht.
Sämtliche Programme die ich bisher installiert habe haben nach dem Admin gefragt deshalb habe ich gedacht dies ist immer so!
0
Dayzd05.04.12 13:30
wolf2

Einfach mal bei f-secure vorbeischaun, die haben eine Anleitung veröffentlicht, in der gezeigt wird, wie man einen Befall erkennen und vernichten kann.

Oder einfach folgendes ins Terminal kopieren und ausführen:
perl -e 'my $return1 = `defaults read /Applications/Safari.app/Contents/Info LSEnvironment 2>&1`;my $return2 = `defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES 2>&1`;if($return1 =~/does not exist/ && $return2 =~/does not exist/) {print "\n\nYour Mac is save!! \n\n";} else{print "Your Mac is infected! For further details: http://www.f-secure.com/v-descs/trojan-downloader_osx_flashback_i.shtml";}'
0
zod198805.04.12 15:03
retrax

Ah, ganz überlesen. Danke.
0
Hans.J
Hans.J05.04.12 16:40
Thunderbolt 05.04.12 09:21
3 zusätzliche Tipps zu Janknets Empfehlung für einen sicheren Mac:

1. Java hat im Browser nichts verloren. Java in Safari ausschalten.

2. Eines der kostenlosen AV-Programme (Sophos, Intego, Avira etc.) installieren

3. Flash deinstallieren (Tool bei Adobe), für Flashseiten nur Google Chrome mit dem integrierten Flash-Player verwenden.
Gibt es Avira auch für Mac? Wusste ich gar nicht.Hab ich offensichtlich verpasst. Gleich mal anschauen. Danke jedenfalls für den Tipp
0
Stefab
Stefab05.04.12 16:47
Aha, es muss nur XCode installiert sein (kann auch uralt sein - damit bin ich schon mal raus), oder der Ordner in Library für Little Snitch, o.ä. dann installiert sich die Malware gar nicht erst, sondern löscht sich selbst, siehe, Link von Dayzd:
On execution, the malware checks if the following path exists in the system:

/Library/Little Snitch
/Developer/Applications/Xcode.app/Contents/MacOS/Xcode
/Applications/VirusBarrier X6.app
/Applications/iAntiVirus/iAntiVirus.app
/Applications/avast!.app
/Applications/ClamXav.app
/Applications/HTTPScoop.app
/Applications/Packet Peeper.app

If any of these are found, the malware will skip the rest of its routine and proceed to delete itself.

Die Anleitung zur "Disinfection" hat auch ergeben, das nix da ist.
0
marco m.
marco m.05.04.12 21:49
Jetzt geht das mit der Kontrolle einfacher. Jemand war so nett, und hat ein Skript geschrieben.
http://mashable.com/2012/04/05/mac-flashback-trojan-check/
Chevy Chase: Twenty years ago, we had Steve Jobs, Johnny Cash and Bob Hope. Now we have no jobs, no cash, and no hope. Please, don't let Kevin Bacon die!
0
Tuco05.04.12 23:50
Genau so funktioniert das Ganze.
Um zu überprüfen ob man infiziert ist lädt man sich ein Script irgendwo aus dem Netz herunter und führt es aus.

Die Malwareprogrammierer freuts.
0
exappleboy
exappleboy06.04.12 09:03
Ich hab ClamXav. Welche Ordner muss das Antivir denn untersuchen um ne Infektion zu finden? Oder ist der einfach nicht installiert wenn er das app findet auf dem Mac?!
0
macintosh IIvx
macintosh IIvx06.04.12 09:19
Thunderbolt 05.04.12 09:21
3 zusätzliche Tipps zu Janknets Empfehlung für einen sicheren Mac:

1. Java hat im Browser nichts verloren. Java in Safari ausschalten.

2. Eines der kostenlosen AV-Programme (Sophos, Intego, Avira etc.) installieren

3. Flash deinstallieren (Tool bei Adobe), für Flashseiten nur Google Chrome mit dem integrierten Flash-Player verwenden.

4. WLAN deaktivieren

5. Netzwerkkabel abziehen

6. Stromkabel abziehen

7. im Originalkarton einpacken und im dunklen Keller verstecken

8. einen stabilen Tisch suchen und sich darunter verkriechen


Alternativ zu Punkt 1 - 8: Hirn einschalten
0
Weitere News-Kommentare anzeigen

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.