Da ist er - der erste echte OS X-Trojaner !!!

Ich brauchte auf meinen WIN-PCs keinen virenscanner. Dann werde ich am Mac erst recht keinen benötigen. :zzz:

 

Ich auch nicht. Gott sei dank, denn ich bekomme weder mp3s noch sonstige Dateien zugeschickt. html-mails fliegen auch immer raus. Ich fühle mich sicher.

Patrick von der Titanic

 

Ein anonymer User hat den Virus im Selbstversuch getestet. Hier sein Bericht. Auch der "Virus" selbst ist dort zum Download angeboten. (Ich sehe gerade, dass nanoloop den Link auch schon gepostet hatte!).

Ich halte das alles für Hysterie. Das geht hier bei uns im Forum ja auch schon seit Wochen so...

 

Ich habe das bereits heute morgen getestet. Das ist einfach Blödsinn und nichts Neues.

virus.mp3 folder enthält eine "query"-Datei mit folgendem Inhalt:

From: Don Bruder <dakidd@sonic.net>
Newsgroups: alt.binaries.schematics.electronic,comp.sys.mac.programmer.misc
Subject: Sorta-RFC-ish: Virus in MP3? (was Re: mp3 flood uploads)
Organization: Chaotic Creations Unlimited
References: <p6qdnW1pw8nhyMTdRVn-jg@comcast.com> <4059BCC4.E6F8E8F7@att.net> <6Mj6c.404$Fo4.3235@typhoon.sonic.net>
User-Agent: MT-NewsWatcher/3.1 (PPC)
Lines: 85
Message-ID: <ynk6c.411$Fo4.3307@typhoon.sonic.net>
Date: Thu, 18 Mar 2004 16:46:22 GMT
NNTP-Posting-Host: 209.204.149.208
X-Complaints-To: abuse@sonic.net
X-Trace: typhoon.sonic.net 1079628382 209.204.149.208 (Thu, 18 Mar 2004 08:46:22 PST)
NNTP-Posting-Date: Thu, 18 Mar 2004 08:46:22 PST


In article <6Mj6c.404$Fo4.3235@typhoon.sonic.net>,
Don Bruder <dakidd@sonic.net> wrote:

> In article <4059BCC4.E6F8E8F7@att.net>, Michael <NoSpam@att.net> wrote:
>
> > Bill Garber wrote:
> > >
(snip(
> > > They may also contain viruses.
> > > I thought my views should be expressed here. Thanks.
> > >
> > > Bill @ GarberStreet Enterprizez };-)
> > > Web Site - http://garberstreet.netfirms.com
> > > Email - willy4SPAM6pa@comXcast.net
> > > Remove - SPAM and X to contact me
> >
> >
> > Virus in a sound file. If the thing could ever work, that would be a
> > neat trick.
>
> Just because it *SAYS* ".mp3" doesn't neccesarily mean that it actually
> *CONTAINS* an MP3... It would take me something like 15 seconds to
> rename my "Eudora Pro" program file to "Tom Sawyer.mp3", but that
> wouldn't make it play a Rush tune when I double-clicked it...
>
> On a Mac, a file claiming to be an MP3 could be an excellent virus/worm
> propogation method, since many folks simply double-click to make it play
> - The computer worries about deciding "is it an application or a
> datafile", and based on that decision, either runs it, or goes looking
> for an application that knows how to use it. If done properly (one way
> that leaps to mind is to plug the viral code into the ID3 tag intended
> to contain cover art, and write the .mp3 file with a JMP or BRA
> instruction starting at the first byte of the file, targeted to jump
> into the executable portion hiding in the ID3 tag) it would even be
> playable from within an application (like if it were played by being put
> on a playlist in an application, rather than double-clicked), though it
> might seem to have a small glitch at the beginning due to the "corrupted
> data block" of the JMP instruction.
>
> Erk...
> I just realized I'm one of the white-hats! And worse, as a Mac user, I
> just scared myself! That scenario is all too possible...

Following-up on myself here to drag this over into a Mac-oriented group.

Sitting here with the idea I posted above bouncing around in my head has
led me to the conclusion that this would indeed be a viable "social
engineering" virus transport mechanism on the Mac - as proof of how well
they can work, look at all the people being infected by the
Bagel/Beagle/whatever-it-is virus over on the Wintel side of the fence
recently - Despite the fact that you had to actually *WORK* at it a bit
to infect yourself! First hunt down the attachment, then unzip it (using
a password, no less!), then actually run it.

Imagine how much more effective the MP3 file trojaned in the manner I
described would be in the Mac model of "Double-click it, and if it's an
application, it runs, or the OS starts up a program that knows how to
handle it if it's a data file". No "hoops" to jump through. And good
camo. Especially if it contained an actual playble MP3. The proper
"Finder flags" would of course have to be set to cause it to be treated
as an app when double-clicked, but that's trivial in comparison to the
other coding that it's going to carry. The thing could be a serious
menace, I would think.

The reason I pulled this thread over to c.s.m.p.m is to get a sanity
check from some other Mac folks. Am I paranoid? Or is what I describe
reasonably possible? As a hobby Mac programmer (Mainly for pre-X
systems), it seems to me that it could be done fairly easily, at least
under Classic. Trying to write a playable MP3 file that looks like a
MACH-0 executable to be run on X might be more difficult, perhaps even
impossible. I don't know enough about X to say with any certainty.

I'm requesting comments in the age-old tradition. No, I'm not saying
that doing this would be a good idea. Only that it *IS* an idea, and
that, at first glance, I don't think it would be very hard to do. As
such, I'm wondering if we need to start regarding MP3s as a potential
trojan/worm/virus threat to be on the lookout for over here in Mac-land.

So, what do you think, Mac folk?

--
Don Bruder - dakidd@sonic.net - New Email policy in effect as of Feb. 21, 2004.
I respond to Email as quick as humanly possible. If you Email me and get no
response, see <http://www.sonic.net/~dakidd/main/contact.html> Short
form: I'm trashing EVERYTHING that doesn't contain a password in the subject.

Und hier sind die Infos des bösen ID3-Tags:

ID3

 

ID3
Der Code wird hier leider nicht wiedergegeben.
Kann jeder selbst ausprobieren. Virus.mp3 downloaden, ausführen und in HexEdit ziehen. Dort unter ID3-Tags schauen.

 

Auch ganz witzig: ändert mal den Suffix von virus.mp3 in virus.jpg, zieht das Ding in Audion oder iTunes und der alberne Lachsack lacht langsamer...

 

Apple hat auch schon was zu dem Thema mitgeteilt:

(www.mactechnews.de)

 

Der "Viirus" selbst ist offenbar völlig harmlos, gefährlich (oder wenigstens problematisch) ist wenn überhaupt die Möglichkeit, Dateien zu maskieren und sogar mit einem fremden Icon zu versehen. Da muss man wohl bei Dateien unbekannter Herkunft in Zukunft noch etwas sensibler sein.

Von einer "Stunde Null" auf dem Gebiet der Datensicherheit am Mac zu reden, wäre aber doch deutlich fehl am Platze. Was ist eine (möglicherweise nur noch kurz bestehende) Sicherheitslücke gegenüber der Unischerheit an *gewissen anderen* Systemen?

 

Vor allem über GMX FreeMail kommen mir alle möglichen Spezies von Win Viren und Würmern ins Haus. Um das zu verhindern, müsste ich GMX ProMail abbonieren, will ich aber nicht, habe ja .mac. GMX gratis = Viruslast, das trifft bestimmt nicht nur auf GMX zu. Die machen meinem Mac zwar nix, ich will aber trotzdem wissen, was da so kreucht und fleucht.

Und wenn's nur aus Neugier ist.

Gruß!
Andreas

 

Hier ist auch noch n guter Artikel darüber.

Gruss
Kalle

 

Der Artikel beginnt: "Der Mac ist anfällig für Viren, sogenannte “Trojaner”." Das ist bestimmt als Witz gemeint. Schon in den 80er Jahren gab es Public Domain Spiele für Mac, die als Nebeneffekt z. B. die Festplatte ein bisschen löschten. Ist eine einfache Strategie, aber wirkungsvoll. So gesehen ist jedes System, nicht nur Betriebssysteme, anfällig für Trojanische Pferde, genau wie einst die Stadt Troja

Gruß!
Andreas

 

Obwohl man gegen etwas was nur tut als ob kein Mittelchen braucht hier für Zukünftiges:

http://www.faq-mac.com/mt/archives/007993.php

 

Sehr schön. Auch der Artikel von "datenimperator", der ausführlich erklärt: "Wie bekommt man den Rechner dazu, die Datei selbst auszuführen, anstatt sie nur durch einen Viewer (in diesem Fall das MP3-Abspielprogramm) darstellen zu lassen? Die Lösung lautet hier: Ressource Forks!"

Und: "Zur Erinnerung: Mac-Benutzer mussten sich ja schon früher nicht mit solchem Blödsinn wie Dateiendungen herumschlagen, das OS erkannte selbst, was für eine Datei man da gerade versuchte zu öffnen. Dazu bediente es sich gewisser Metadaten, die das Dateisystem quasi parallel zum Dateninhalt der Datei speichert, die sog. “Ressource fork”...

antiAPPL (das Applescript) sagt mir natürlich, daß sich im heruntergeladenen Virus.mp3 von Bo Lindbergh ein Trojaner verstecken könnte.

 

Trojan Wranger:
http://www.idleloop.com/programs/index.html

 

http://openosx.com/support/

 

Alles eine Ente.
Indego hat schon eine Rückzieher gemacht.

 

Yepp.

Deshalb heisst das Dingen ja auch Concept.