Apfelinsel
Mac-Software => Thema gestartet von: MacFlieger am April 06, 2012, 09:36:29
-
Über den Flashback-Trojaner wird viel geschrieben und er scheint sich auch gut ausgebreitet zu haben.
Der Flashback-Trojaner gibt sich zunächst immer als Flash-Update aus, was der Benutzer installieren soll. Wenn der Benutzer es macht, ist die Malware auf dem Rechner. Die Infektion lief immer so ab: Eine Website präsentierte eine Mitteilung, die exakt wie die von Adobe aussieht, dass ein Update für Flash vorliegt und man dieses installieren soll. Daraufhin starteten die Nutzer dieses vorgebliche Flash-Update, gaben Admin-Kennwort ein und fertig. Dagegen hilft gar nichts außer, man lässt nur noch signierte Software zu (wie mit Gatekeeper für 10.8 geplant).
Allerdings ist damit die Geschichte noch nicht durch.
Wenn man das Update ablehnt, was man prinzipiell immer tun sollte, versuchte der Trojaner sich selber zu installieren, in dem bekannte Sicherheitslücken ausgenutzt wurden. Bis zu der erwähnten Java-Lücke (http://www.apfelinsel.de/forum/index.php/topic,5642) wurden allerdings nur Lücken ausgenutzt, für die schon Patches vorlagen, d.h. ein aktualisiertes System war dann sicher. Bei der Java-Lücke gabe es ein paar Tage, in denen die Lücke ausgenutzt wurde und noch kein Update vor lag.
Wie erkennt man, ob der eigene Rechner betroffen wurde?
Man öffnet das Terminal und gibt folgende Befehle dort ein (einfach reinkopieren). Wenn man nicht betroffen ist, sollte jeder Befehl als Ausgabe "The domain/default pair of ... does not exist" liefern.
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
defaults read /Applications/Firefox.app/Contents/Info LSEnvironment
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
Wie entfernt man den Flashback-Trojaner?
Hier (http://reviews.cnet.com/8301-13727_7-57410096-263/how-to-remove-the-flashback-malware-from-os-x/) gibt es unter dem Punkt "How do I remove it" eine Schritt-für-Schritt-Anleitung. Ist allerdings nicht ganz simpel.
-
Danke für die Zusammenfassung! Der beste Text, der mir bisher untergekommen ist.
-
Dagegen hilft gar nichts außer, man lässt nur noch signierte Software zu
Doch, Hirn.
Finde es immer wieder lustig, wie leicht man heute einfach die Verantwortung abschiebt.
Dazu passt wunder bar, das "ich brauch kein Hirn mehr" iOS.
-
Generell gebe ich Dir recht, natürlich ist der Benutzer das größte Sicherheitsrisiko.
In diesem Falle genügt(e) aber u.U. der Besuch einer manipulierten Webseite - für den Mac ein Novum. Das kann theoretisch auch eine an sich seriöse sein, die gehackt wurde.
Man sollte auch nicht vergessen, dass es noch eine Menge Tiger- und Leopard-Installationen gibt, denen Apple keinen Patch mehr anbietet.
-
Doch, Hirn.
Finde es immer wieder lustig, wie leicht man heute einfach die Verantwortung abschiebt.
OK, war etwas missverständlich ausgedrückt von mir. Ich meinte, dass gegen einen echten Trojaner keine technische Maßnahme hilft. Es wird ja keine technische Lücke ausgenutzt, sondern der Nutzer durch Tricks dazu gebracht, den Trojaner zu installieren.
Allerdings ist der Flashback-Trojaner eben hinterhältiger als reine echte Trojaner. Wenn der User das Hirn eingeschaltet hat und eben nicht installiert, dann versucht der Trojaner sich selber durch Ausnutzung von Sicherheitslücken zu installieren.
-
War übrigens nicht böse gemeint!
Frohe Ostern
-
Dagegen hilft gar nichts außer, man lässt nur noch signierte Software zu
Würde ein Virenscanner (mit der Funktion Echtzeitscan/on-access scan/real-time protection/background guard/Zugriffsscan/residenter Scan oder wie das heißt) nach dem Download und/oder beim Öffnen nicht ein Schild hochhalten:
"Obacht, hier spricht ihr Virenscanner, dies ist Malware. Das Öffnen wurde vorerst blockiert."
Mich würde das mehr beeindrucken als eine Admin Kennwort Abfrage.
-
Würde ein Virenscanner (mit der Funktion Echtzeitscan/on-access scan/real-time protection/background guard/Zugriffsscan/residenter Scan oder wie das heißt) nach dem Download und/oder beim Öffnen nicht ein Schild hochhalten:
"Obacht, hier spricht ihr Virenscanner, dies ist Malware. Das Öffnen wurde vorerst blockiert."
Woher soll dieser Virenscanner denn wissen, dass es Malware ist? Der richtige Flash-Updater funktioniert doch genauso. Du willst ein Programm installieren und wenn der Virenscanner den Trojaner nicht kennt, dann kann er nicht unterscheiden, ob es Malware oder nicht ist.
Oder meinst Du Erkennung nach heuristischen Verfahren (verhaltensbasierte Erkennung)? Das ist auch ziemlich komplex und schwierig und funktioniert im Windows-Bereich auch nur sehr eingeschränkt bis gar nicht.
-
Woher soll dieser Virenscanner denn wissen, dass es Malware ist?
So wie in der Windowswelt üblich: per Verhaltenserkennung, oder per Signatur. Die werden ja mittlerweile stündlich, bzw. live verteilt. Sofort nach dem bekannt werden der Flashback Variante wäre eine MalwareSignatur möglich gewesen. Das geht doch potentiell schneller als das Stopfen von Sicherheitslücken.
Wäre das über XProtect (http://www.insidemac-blog.de/index.php/apples-neues-xprotect) nicht möglich gewesen?
-
Dieser Ansatz bedingt halt einfach unendlich anwachsende Signaturdatenbanken. Was irgendwann mal zum Kollaps wegen der Datenbank führt.
-
So wie in der Windowswelt üblich: per Verhaltenserkennung, oder per Signatur.
Das ist klar, dass man es so machen kann. Es gibt da auch entsprechende Software dafür. Nur sollte man sich auch damit nicht in Sicherheit wiegen, denn auch diese Lösungen erhöhen nur den Schutz und zeigen evtl. gefährliche False-Positives. Kann man unter Windows gut sehen, weil dort das Hase-Igel-Rennen voll im Gange ist.
- Erkennung per Signatur: Damit "erschlägst" Du bereits bekannte Malware. Im Zeitraum bis die neue Signatur verteilt wird, hat man keinen Schutz und die "Bösen" modifizieren ihre Malware so, dass täglich einige hundert Varianten rauskommen.
- Erkennung per Verhaltenserkennung: Das ist sehr schwer, weil die Malware sich darauf einstellt und ihr Verhalten entsprechend versteckt. Die Verhaltenserkennung der Software unter Windows funktioniert nur sehr schlecht bis gar nicht.
Sofort nach dem bekannt werden der Flashback Variante wäre eine MalwareSignatur möglich gewesen. Das geht doch potentiell schneller als das Stopfen von Sicherheitslücken.
In der von Dir gemeinten Software dürfte das auch so gewesen sein. Habe ich jetzt nicht überprüft, aber gehe ich von aus. In diesem einen Fall hätte es geklappt, aber es bedeutet keine endgültige Lösung, nur den Start des Rennens...
Wäre das über XProtect (http://www.insidemac-blog.de/index.php/apples-neues-xprotect) nicht möglich gewesen?
Ich glaube nicht, da XProtect nur eine sehr einfache Variante derartiger Software ist. Um eine echte Antivirenlösung zu sein, müsste die deutlich ausgebaut werden, so wie Microsoft Security Essential.
Aber eine Antivirensoftware ist keine wirkliche funktionierende Lösung (und darum ging es in meinem Posting), sondern nur eine Verbesserung der Symptome.
-
Das man die absolute Sicherheit so nicht erreicht ist schon klar. Aber wenns hilft, ists doch gut. Angesicht der Anzahl an Malware funktioniert es doch unter Windows relativ gut.
Eine Blacklist mit böser Software ("Virenscanner") finde i h mindestens so sinnvoll wie eine Whitelist mit erlaubter guter Softare (AppStore, signierte Software).
-
Das man die absolute Sicherheit so nicht erreicht ist schon klar. Aber wenns hilft, ists doch gut. Angesicht der Anzahl an Malware funktioniert es doch unter Windows relativ gut.
Es gibt ja entsprechende Software schon. Nur nicht direkt von Apple eine Äquivalenz zu MSE.
Ob das unter Windows "relativ gut" funktioniert, kann man unterschiedlicher Meinung sein. Liegt dann eher daran, dass relativ halt relativ ist. :)
-
Naja, relativ zur Aussage "ist überhauptgarkeine Lösung", "der Rechner bricht unter der Last der MalwareListe zusammen".
Die von mir betreuten Windows Rechner laufen jetzt inklusive Virenschutz nicht so holprig.
-
Es gibt ja entsprechende Software schon.
Hat denn eine der mittlerweile mannigfaltigen OS X Schutzsoftware konkret diesen Schädling erkannt?
-
Wenn man nicht betroffen ist, sollte jeder Befehl als Ausgabe "The domain/default pair of ... does not exist" liefern.
Puh, das war wieder drei mal Nervenkitzel... *lach*
Aber zum Glück kam drei mal die richtige Antwort.....
-
Hat denn eine der mittlerweile mannigfaltigen OS X Schutzsoftware konkret diesen Schädling erkannt?
Nein:
http://daringfireball.net/linked/2012/04/05/flashback
-
Nein:
http://daringfireball.net/linked/2012/04/05/flashback
Das steht da so nicht drin.Da steht nur, dass die AV-Software diese neue Version erst seit dem 4.4. erkennt. Von den vorherigen Varianten ist das so im Detail nicht geschrieben. Müsste man mal nachforschen, seit wann die Signaturen für die unterschiedlichen Varianten drin sind und wie lang die Reaktionszeiten waren. Das ist leider immer ein Rennen. Malware wird geschrieben und freigesetzt, dann müssen die Antiviren-Schreiber dies erst einmal erfahren, dann müssen sie das analysieren, Signatur bauen und zur Verfügung stellen, schließlich der User diese Signatur herunterladen (automatisch oder manuell). In der ganzen Zwischenzeit gibt es keinen Schutz. Und je länger das Rennen andauert, desto schneller werden neue Versionen von Malware in die Welt gesetzt und desto öfter gibt es False-Positives. Es gibt ja leider dafür ein schon seit Jahren laufendes Rennen als Fallbeispiel.
-
Derweil haben die Antivirenhersteller kostenlose Test- und Entfernungsprogramme für Flashback-Trojaner:
http://www.golem.de/news/flashback-trojaner-anzahl-infizierter-macs-steigt-weiter-1204-91034.html
-
Apple is developing software that will detect and remove the Flashback malware:
http://support.apple.com/kb/HT5244
"For Macs running Mac OS X v10.5 or earlier, you can better protect yourself from this malware by disabling Java in your web browser(s) preferences."
Heißt das der Trojaner läuft auch auf PPC Macs?
-
Heißt das der Trojaner läuft auch auf PPC Macs?
Ja.
-
In Deutschland sind angeblich rund 4000 Macs betroffen:
http://mobil.maclife.de/mac/software/utility/antiviren-firmen-entfernen-kostenlos-flashback-schadsoftware
-
Apple veröffentlicht Flashback-Entferner
http://www.heise.de/mac-and-i/meldung/Apple-veroeffentlicht-Flashback-Entferner-1520404.html
Jetzt nicht mehr nur in der Software-Aktualisierung. This update is recommended for all OS X Lion users without Java installed:
http://support.apple.com/kb/DL1517
-
Adobe schafft das Update Fenster für Flash ab. Ab dem nächsten - manuell zu installierendem Update - werden Aktualisierungen automatisch im Hintergrund durchgeführt. Das wurde kürzlich erst bei der Windows Version eingeführt.
http://www.maclife.de/mac/software/betriebssystem/flash-113-fuer-mac-os-x-adobe-veroeffentlicht-vorabversion
-
Das ist erheblich besser.
Ich habe heute morgen auch wieder so ein Update-Fenster für Flash bekommen. Ich vermute(!), dass dies wirklich von Flash stammt und sich auf das gestern erschienen Update bezog, aber sicher bin ich mir nicht.
Ich habe das daher sofort geschlossen.
-
Ich habe heute morgen auch wieder so ein Update-Fenster für Flash bekommen. Ich vermute(!), dass dies wirklich von Flash stammt und sich auf das gestern erschienen Update bezog, aber sicher bin ich mir nicht.
Ich habe das daher sofort geschlossen.
Man sieht doch jeweils, dass das Fenster vom Adobe Updater kommt?
-
Man sieht doch jeweils, dass das Fenster vom Adobe Updater kommt?
Woher? AFAIK täuscht der Trojaner das Fenster täuschend echt vor.
-
Man sieht doch jeweils, dass das Fenster vom Adobe Updater kommt?
Das ist doch genau das Problem. Eine Malware kann doch einen beliebigen FensterInhalt auf dem Display zeigen - auch einen, der pixelgenau einem OriginalFenster gleicht. Wie soll das der Endverbraucher erkennen??
Das Fenster vom Flashback.C Installer sieht übrigens so aus:
(http://www.f-secure.com/virus-info/v-pics/trojan-downloader_osx_flashback_b_installer.png)
http://www.f-secure.com/v-descs/trojan-downloader_osx_flashback_c.shtml
-
Der Updater ist ja eine auf dem Mac laufende Applikation, also mit eigener Menüleiste und Icon im Dock. Das wird ein ex Website laufendes Applet wohl nicht hinkriegen, oder täusche ich mich da?
-
Der Trojan Installer ist wirklich ein Installer.pkg! Das hat man vorher selber runtergeladen, weil diese Fenster kamen:
(http://tidbits.com/resources/2012-02/Flashback-installer.jpeg)
http://tidbits.com/article/12818
-
Der Updater ist ja eine auf dem Mac laufende Applikation, also mit eigener Menüleiste und Icon im Dock. Das wird ein ex Website laufendes Applet wohl nicht hinkriegen, oder täusche ich mich da?
Da habe ich jetzt nicht drauf geachtet. Hmmm, ich werde beim nächsten mal genau hinschauen.
Das Fenster vom Flashback.C Installer sieht übrigens so aus:
Das Fenster meinte ich nicht. Das dürfte ja erst kommen, wenn man den Start des Installationsprogrammes initiiert hat. Bei mir kam erst einmal dieses typische Adobe-graue Benachrichtigungsfenster. AFAIK kommt erst das und wenn man das bestätigt wird die Installation angeworfen.
Der Trojan Installer ist wirklich ein Installer.pkg! Das hat man vorher selber runtergeladen, weil diese Fenster kamen:
Ja, das Fenster meinte ich.
-
... wenn ich den Tidbits Artikel richtig verstehe, dann reicht es hier auf continue zu klicken, wenn dieses Zertifikat im Browser eingeblendet wird:
(http://tidbits.com/resources/2012-02/Flashback-certificate-prompt.png)
und man installiert sich den Trojaner. Sogar wenn man alle Updates hat. Richtig?
-
Der Trojan Installer ist wirklich ein Installer.pkg! Das hat man vorher selber runtergeladen, weil diese Fenster kamen:
(http://tidbits.com/resources/2012-02/Flashback-installer.jpeg)
http://tidbits.com/article/12818
Tja, eben. Man merkt doch nach wie vor, dass da irgend etwas nicht stimmen kann, bei alldem, was da so vor sich geht.
Und so täuschend, wie sie es mittlerweile technisch und designmässig schon hingekriegt haben mögen, da verwundert es mich dann immer wieder, dass sie regelmässig am selben scheitern, das doch eigentlich noch am einfachsten hinzukriegen wäre: am korrekten Englisch scheitern sie jedesmal. :)
-
Ja, zumindest abschreiben sollte man schon können. Aber das kann ja noch werden. ;)
-
http://www.heise.de/mac-and-i/artikel/Tiefenanalyse-Der-Flashback-Trojaner-1525100.html
-
Recht interessanter Artikel.
Auch dass die Schreiber wohl noch eine Menge Spielraum zur Optimierung ihrer Software gehabt haben, ist interessant.
-
http://www.heise.de/mac-and-i/meldung/Flashback-Zwei-Drittel-aller-infizierten-Macs-laufen-mit-Snow-Leopard-1564291.html
-
Da hätte ich mehr geschätzt, schließlich wird Java mit nicht mehr mitgeliefert.
Im Artikel steht, Leopard-User seien der Malware schutzlos ausgeliefert. Java können sie aber deaktivieren, und das würde ich dringend empfehlen.
-
Im Artikel steht, Leopard-User seien der Malware schutzlos ausgeliefert. Java können sie aber deaktivieren, und das würde ich dringend empfehlen.
Nur zur Präzisierung: Das Java-Plugin im Browser sollte man abschalten.
-
http://www.appleinsider.com/articles/12/05/01/flashback_os_x_malware_estimated_to_net_authors_10k_per_day.html
-
Der Updater ist ja eine auf dem Mac laufende Applikation, also mit eigener Menüleiste und Icon im Dock. Das wird ein ex Website laufendes Applet wohl nicht hinkriegen, oder täusche ich mich da?
Da habe ich jetzt nicht drauf geachtet. Hmmm, ich werde beim nächsten mal genau hinschauen.
Habe das übrigens gerade eben bildlich einfangen können (allerdings hatte ich ungeschickterweise Bildschirmfoto im Vordergrund; und nicht den Adobe Install Manager):
-
So und diesmal habe ich ihn richtig erwischt, ohne Grab im Vordergrund:
-
Woran kann man denn nun genau erkenne, ob's echt ist oder Maleware?
-
Du siehst am Dock-Icon und an der entsprechend betitelten Menu-Leiste, dass Dir das Update-Fenster von einem auf Deinem Mac installierten Programm angezeigt wird und nicht von Deinem Browser und somit nicht von irgend einer üblen Website.
-
Danke. D.h. deine Screenshots zeigen den "richtigen" Installer, richtig?
Sorry, wegen der nochmaligen Nachfrage. Bin da leider nicht richtig im Thema.
-
Ja, genau.
-
Und neuerdings schert sich Apple doch wieder um Flash und deaktiviert flugs das Plug-in, wenn es nicht mehr aktuell ist. Und kommt so dem Flash-eigenen Update-System zuvor und präsentiert stattdessen schon wieder einen neuen Mechanismus. Einen, der nicht sonderlich vertrauenserweckend daher kommt und sich allmählich nur noch schwer von Versuchen zum Unterschieben eines Trojaners unterscheiden lässt. ::)
-
Kannst Du das mal genauer beschreiben? Ich verstehe nicht, was Du mit dem letzten Satz meinst.
-
Wenn man eine Site mit Flash-Inhalten ansteuert, kriegt man von Safari ein Sheet angezeigt, das sagt, Flash sei nicht mehr aktuell und es sei deswegen deaktiviert worden. Und man solle sich doch die aktuellste Version installieren. Darunter hat man zwei Buttons zur Auswahl. Der Default-Button heisst irgendwie "Get Flash..." oder so und daneben gibt es noch einen OK Button, mit dem man einfach mal bestätigen kann.
Woher die Meldung kommt ist erstmal nicht erkennbar. Und, noch schlimmer, was der "Get Flash..." Button bewirkt und wohin er führt, ist nicht erkennbar. IMO könnte jede (boshafte) Site einen solchen Dialog anzeigen lassen. Die einzige vernünftige Reaktion auf den Dialog kann also nur der OK Button sein.
Später merkt man dann, dass Flash wirklich deaktiviert worden ist und statt den Flash-Inhalten von Safari überall nur noch Links "deactivated plug-in" oder so angezeigt werden. IIRC bringt ein Klick auf einen solchen Link dann erneut das erwähnte Sheet. Und man beginnt zu vermuten, dass die Meldung tatsächlich von Safari bzw. Apple kommt und wagt dann mal den Klick auf den "Get Flash..." Button. Er bringt einen auf die korrekte Download-Seite von Adobe, auf welcher man dann den Download starten kann.
In meinen Augen völlig verunglückte Nanny-Spielchen. Entweder macht man wirklich auf Nanny und kümmert sich, wie ursprünglich, um die Updates, so dass sich der Benutzer wirklich behütet zurücklehnen kann. Oder man überlässt die Arbeit und die Entscheidungen dem Benutzer. Und wenn man den Benutzer zu Entscheidungen auffordert bzw. nötigt, dann ist es unumgänglich, dass man ihm alle notwendigen Informationen zur Verfügung stellt, die er für seinen Entscheid benötigt. Aber derartiges "wir haben ein bisschen an Deinem System rumgefummelt, ätsch bätsch, und nun spielen wir noch Hütchenspiel, möchtest Du Hütchen A oder B?" geht gar nicht. >:(
-
Wenn man eine Site mit Flash-Inhalten ansteuert, kriegt man von Safari ein Sheet angezeigt, das sagt, Flash sei nicht mehr aktuell und es sei deswegen deaktiviert worden.
Das habe ich eben auch zum ersten mal angezeigt bekommen.
Die besuchte Seite war die Dropbox.
-
OK, da stimme ich Dir voll zu. Man denke nur daran, dass man immer allen Leuten einschärft, keine Plugin o. Ä. herunterzuladen, wenn eine Website einen dazu auffordert. Und so erkennt man den Unterschied überhaupt nicht. Ziemlich mies.
-
Ich finde das passendere Thema nicht…
Meine heutige Beobachtung: Flash meldet zum ersten mal von sich aus, alles wäre aktuell. Auch nach Nachfrage und nochmaligen Check in der Systemeinstellung.
Dabei steht die neue Version 11.6.602.171 online.
Verwirrung allenthalben trägt wohl kaum zur Sicherheit bei.
Edit:
Jetzt geht's und siehe da, es sind wieder schon ausgenutzte Sicherheitslücken gestopft:
http://www.heise.de/security/meldung/Schon-wieder-Notfall-Update-fuer-Flash-Player-1811996.html
Ich deinstalliere diese Fast-schon-Malware jetzt.
-
Ich deinstalliere diese Fast-schon-Malware jetzt.
Leider benötige ich Flash für das optische TAN-Verfahren meiner Banken.
-
Leider benötige ich Flash für das optische TAN-Verfahren meiner Banken.
Ganz deinstallieren kann ich es auch nicht. Aber durch den Einsatz von Click2Flash bzw. neuerdings Click2Plugin, wird Falsh bzw. neuerdings alle möglichen Plugins erst nach einem Klick von mir geladen. Und da überlege ich mir vorher gut, ob ich das wirklich will.
-
Urheber des Flashback Trojaners entdeckt. Immer noch 40.000 Macs infiziert:
http://www.spiegel.de/netzwelt/web/apple-trojaner-urheber-in-russland-entdeckt-a-892472.html