Trojaner/Wurm für OS X

[Jochen]

Diskussionen bei:

http://www.heise.de/newsticker/meldung/69677

Alle Fachleute und -frauen sind versammelt und diskutieren

Jochen

[Florian]

Wie radneuerfinder sagt. Dieses Argument gilt dann auch für 90% der Windows-Viren und diese Email-Anhänge sind ja immer noch sehr erfolgreich, auch wenn man an so viel Dummheit einfach nicht glauben kann.
Das "Neue" an diesem Programm ist allerdings - sofern es überhaupt existiert, geht das nicht alles auf einen Thread im macrumors-Forum zurück? -  daß es als erster Mac-OS-XS-chädling eine eingebaute Weiterverbreitungsmethode hat, auch wenn es dabei immer wieder auf dieselben Hürden trifft.
Für Panik sicher kein Anlass, aber es kann nicht ganz verkehrt sein, wenn die Mac-User in kleinen Dosen daran gewöhnt werden, daß man nicht alles bedenkenlos doppelklicken sollte.

Macflieger: Macht es wirklich einen Unterschied, ob man als Admin oder normaler User angemeldet wird? Man wird doch sowieso nach dem Passwort gefragt - oder geht es um die Kopie einer Datei in /Library oder was auch immer?
Habe nicht den Mumm das auszuprobieren.

[warlord]

Dieses Argument gilt dann auch für 90% der Windows-Viren

Viren sind es eben nicht.  Viren gibt es heute, auch für Windows, praktisch keine mehr.

 daß es als erster Mac-OS-XS-chädling eine eingebaute Weiterverbreitungsmethode hat,

Genau diese Qualität ist es, weswegen heute ein grosser Teil der Malware als Wurm bezeichnet wird.
Dabei stellt man aber eben in meinen Augen auf eine nicht vollständige Definition des Begriffs Wurm ab. Ein Wurm muss sich IMO (häufig sogar völlig unbemerkt) selbständig von Computer zu Computer bewegen und weiterverbreiten können. Eine Malware, die jeweils nur den Hops auf den nächsten Computer schafft (auch wenn sie dies mit eingebauten Mitteln tut), dort aber erst wieder vom Benutzer angeschubst werden muss, damit sie den nächsten Hops schafft, erfüllt in meinen Augen diese Definition nicht vollständig.

[Florian]

Ja, gut, aber wichtig ist doch eigentlich nur, was das Programm anstellt, nicht die genaue Bezeichnung, was es ist. Die Termini sind mir daher eher wurscht, eben weil sie Jeder anders verwendet.
Für mich ist ein Wurm z.B. ein Programm, daß sich weiterverbreitet, ohne eigene Schadroutinen. Ein Virus verbreitet sich und richtet auch direkt, wenn auch oft zeitverzögert, Schaden an (nicht nur über Überlastung der Server). Und ein Trojanisches Pferd (heute sinnentfremdend als "Trojaner" bezeichnet) nistet sich in anderen Programmen oder dem System ein und mißbraucht sie/es für seine Zwecke.
So würde es zumindest sprachlich Sinn ergeben. Was dazu die IT-Experten meinen ist mir dagegen recht egal.  Den Luxus gönne ich mir.

[warlord]

Ja, gut, aber wichtig ist doch eigentlich nur, was das Programm anstellt, nicht die genaue Bezeichnung, was es ist. Die Termini sind mir daher eher wurscht, eben weil sie Jeder anders verwendet.

Jo, stimmt schon. Wär halt einfach schön und weniger für Missverständnisse anfällig gewesen, wenn alle in etwa das selbe unter einem Begriff verstehen würden. Aber ja, dem ist definitiv nicht so und wird wohl auch nicht so bald sein... 

[MacFlieger]

Macflieger: Macht es wirklich einen Unterschied, ob man als Admin oder normaler User angemeldet wird? Man wird doch sowieso nach dem Passwort gefragt - oder geht es um die Kopie einer Datei in /Library oder was auch immer?

Genau weiß ich es auch nciht, da ich das Dingen nicht selber habe und es selbst dann nicht doppelklicken werde. Berichtet wird, daß die Software versucht, alle Programme in /Applications zu verändern. Bei einem Admin-Account geht das angeblich ohne weitere Paßworteingabe.

BTW, es werden auch Vermutungen geäußert, daß das Programm von Apple ist. Es enthält nur PPC-Code und soll somit den Switch beschleunigen. 
Andere meine, es wäre kein Universal Binary, weil die Lizenzbestimmungen für das Logo zu schwierig sind. 

Jaja, die Definition Virus/Wurm/Trojaner. Ist sehr schwierig, die Grenzen sind fließend und die meiste neuere Malware benutzt mehrere Wege, ist also nichts eindeutig.

[Jochen]

...Viren gibt es heute, auch für Windows, praktisch keine mehr...

Das ist ja ein absoluter Bruch eines Tabus.

Schämst Du Dich nicht, so was öffentlich auszusprechen.

Tztztztztz

Jochen

[Florian]

Also, es wird etwas in /Library/Input Managers kopiert. Daher die Frage nach dem Admin-Passwort. Hier gibt es also wirklich mal einen Unterschied zwischen normalen User und Admin, da für diese Ordner der Admin kein Passwort eingeben muss. Anders beim System-Ordner, dort darf auch der Admin ohne Abfrage nicht rein.

Noch mal andersrum formuliert:
Ist man normaler User, wird das Passwort des Admins gefordert, was natürlich noch jeden stutzig machen sollte. Als Admin (also wenn im Benutzerprofil in den Systemeinstellungen bei "Der Benutzer darf diesen Computer verwalten" ein Häkchen ist) muss man "nur" die Datei doppelklicken.

[Locusta]

Also das 1. was mich stuzig macht: Warum wird ein Screen von 10.5 nicht via Browser verbreitet, sondern dass ich den erst downloaden muss und dann noch entpacken um ihn dann ansehen zu können. Ein bisschen schwachsinnig, wenn man sich überlegt, dass wenn es auch ein echter Screen wäre, dass man diesen dann auch vermutlich in 1000-facher Ausführung auf zig Mac-News-Seiten sehen würde, ohne dass man ihn downloaden muss. Der Ersteller hätte sich eine bessere Story einfallen lassen sollen...

Besser wäre es, wenn z.B. durch eine Sicherheitslücke in Safari z.B. ein Java-Code mit einem Bild zusammen ausgeführt werden kann, der dann das Programm "Software-Aktualisierung" verändert, z.B. überschreibt, so dass bei einer neuen Aktualisierungs-Überprüfung einfach die schädliche Software von irgendwo herunterlädt und der User, der an ein Sicherheitsupdate xyz von Apple glaubt (weil das Ding sich in der vermeintlichen Software-Aktualisierung auch so ausgibt) und dann einfach das Admin-Kennwort eingibt, so dass die Software dann installiert wird. Einzig problematisch sehe ich den Schrit das Programm "Software Aktualisierung" auszutauschen. Das "Problem" (bzw. "Kundenverarsche") könnte von APples seite dahingehend gelößt werden, dass beim Start von Softwareaktualisierung der Codec auf Echtheit überprüft wird...

[Stephan]

Ein bisschen schwachsinnig, wenn man sich überlegt, dass wenn es auch ein echter Screen wäre, dass man diesen dann auch vermutlich in 1000-facher Ausführung auf zig Mac-News-Seiten sehen würde, ohne dass man ihn downloaden muss. Der Ersteller hätte sich eine bessere Story einfallen lassen sollen...

Ich find das richtig gemein, die WIN-User bekommen Nacktbilder von der lieben Britney

und wir sollen uns mit einem langweiligen Screenshoot rumschlagen,

sind wir den Menschen zweiter Wahl...sorry das ist echt ein Skandal 

[Florian]

Locusta:
Ja, klar, besonders clever ist das Programm nicht. Darf man wohl zurecht eher als Demonstration sehen, oder auch "proof of concept" denn als tatsächlich mit bösen Absichten programmiert.

Stephan:
Sehe das eher als Wertschätzung. Wer will schon diese Mädchenschema-Hupfdohle aus der Klonfabrik ohne Kleider sehen?
Dies ist versuchte Satire und nicht als Beleidigung gemeint, liebe Anwälte.

[fränk]

Wer will schon diese Mädchenschema-Hupfdohle aus der Klonfabrik ohne Kleider sehen?

Ich.

[Florian]

Na, Du bist ja auch ein Gockel mit Stallpflicht, da braucht man wohl jede Anregung.

[Thyrfing]

Gerade imn WDR: Gänse und Enten werden im Stall impotent, weil sie sich lieber im Wasser paaren... Gilt das für Gockel auch? Lieber auf der Wiese, als im Holzverschlag?

[radneuerfinder]

Ein weiteres Leck:
http://www.heise.de/newsticker/meldung/69854