Trojanerwarnung von Intego

Laut Integos Secuity Alert vom 30.10 ist auf einigen Pornoseiten ein Trojaner gefunden worden der den DNS Server des Mac via "scutil" ändert um Browser-Hijacking zu ermöglichen.

Für die sprachlich herausgeforderten hier die wichtigsten Fakten

Der Schädling braucht die tatkräftige Unterstützung eines Admins, da er sich als Quicktime-Codec ausgibt, der angeblich benötigt wird um das kostenlose Filmchen betrachten zu können. Für die Installation wird also ein Adminpasswort verlangt.

(Also erst Hose zu und dann den Netzwerkfuzzi anrufen, gute Geschichte zu Herkunft und Zweck des Codecs einfallen lassen Codec installieren lassen und Admin mit ein paar Dankes-Keksen wieder nach Hause schicken.

Der adminprivilegierte Heim-User muss sich halt auch da selbst helfen.

1. das .dmg herunterladen
2. das .dmg öffnen (falls irgendein Arsch mal wieder das praktische "sichere Dateien automatisch Laden" deaktiviert hat.
3. Adminpasswort eingeben.
4. Der Installationsroutine folgen.

und schon stehen einem Welt und Hose wieder offen)

Danach geht der wilde Ritt entweder auf ebay-, paypal- oder andere Phishing-Seiten oder auch auf Pornowerbeseiten die dem Finsterling ein paar Werbepesos einbringen sollen.

Der beste Weg sich zu schützen ist laut Intego die hauseigene Software VirusBarrier X4 einzusetzen (wer hätte das gedacht) und keine Software von fragwürdigen Seiten zu installieren.

Also Augen auf beim Pornokauf.


http://www.intego.com/news/ism0705.asp

http://www.macintouch.com/index.shtml

 

http://www.spiegel.de/netzwelt/tech/0,1518,514860,00.html

Bei diesem Beitrag scheint es sich um einen anderen Typ zu handeln.

 

Zum Schrecken der Anwender wurde bereits ein zweiter Schädling gefunden, der zu allem Übel auch noch auf der DVD des Betriebssystems gefunden wurde.

In den Dienstprogrammen wurde eine kleine Malware versteckt die sich beim booten von DVD im Menü des Installationsprogramms einnistet und bei Aktivierung die Festplatte formatieren kann
Laut Apple-internen Quellen ist zur Ausführung des Programms keine besondere Authentifizierung notwendig und kann sie von jedem User vorgenommen werden. Eine Ausführung hat den kompletten Verlust ungesicherter Daten zur Folge. Der Schädling nennt sich Festplatten Dienstprogramm.

Eine Rückrufaktion steht kurz bevor.

 

Ich hab den Virus auch, der hat mir schon unzählige Festplatten gelöscht.


maceddy

 

Hi,

kann mir mal jemand das DMG zukommen lassen, bzw. sagen wo ich die Finde?
ich würde gerne mal "reinschauen" und habe noch eine Opfer-Installation auf einer FW-Platte.

Danke

Volker

 

das "Festplatten-Dienstprogramm" ist ein Virus??
Kann doch irgendwie nicht sein weil das bei mir auf Tiger und Leopard vorinstalliert war!
Soll ich des Proggi jetzt löschen oder lieber net?

 

Bitte NICHTE LÖSCHEN.
Und glaub nicht jeder Virenwarnung.


maceddy

 

Endlich - Endlich ist es soweit und ich kann meinen budgetveranwortlichen Chef davon überzeugen, das wir für die Macs im Unternehmen jetzt auch nen Virenscanner brauchen .... )
WIR SIND WIEDER WER - der Marktanteil ist jetzt wohl wieder so hoch das es sich lohnt uns auch so nen Scheiss unterzujubeln ! :kotz:

Ist das nun ein Erfolg oder wie ?

 

Hi,

leider habe ich den Schadcode noch nicht auftreiben können, jedoch habe ich einfach versucht die Arbeitsweise mittels der mir zur Verfügung stehenden Informationen nachzustellen und die Auswirkungen durchzutesten.

Hierbei beziehe ich mich auf folgende Links bzw. darin weiter verlinkte Dokumente.

http://www.fscklog.com/2007/10/osxrspluga-inte.html
http://www.macworld.com/2007/10/firstlooks/trojanhorse/index.php?lsrc=mwrss

Bei meiner Netzwerkkonfiguration führt eine gefakte DNS dazu, daß im Browser einfach nichts geöffnet werden kann.

Weder über die Airport Extreme, noch über die zweite Leitung (Proxy mit vorgeschalteter Firewall) war eine Kontaktaufnahme zum gefakten DNS möglich. (da keine Route vorhanden ist)

Sowohl bei der Extreme, als auch in der Firewall bzw. dem Proxyserver sind die DNS Server meines Providers (vom Client) manipulationssicher hinterlegt.

Was bisherige Artikel verschweigen ist die einfache Manipulation der Datei /etc/resolv.conf.

Fazit:

1. Wer noch nicht mit seiner DSL-Leitung hinter einem sauber konfiguriertem Router sitzt sollte dies schleunigst nachhohlen.

2. Generell sollte jeder Arbeitsaccount keine Adminrechte haben.

3. Sicherheit ist nicht eine einzige Maßnahme sondern beruht auf einem Gesamtkonzept. Ich habe übrigens auch Geld ausgegeben, um meine Infrastruktur von einem Fachunternehmen prüfen zu lassen.

4. Generell sollte man auf dubiose Codecs, Systemerweiterungen, Desktop-Themes etc. verzichten. (War schon unter Win immer ein tolles Einfallstor für Schädlinge) bzw. diese wenn nur von vertrauenswürdigen Seiten wie Macwelt, Apple etc. beziehen.

@contom1:

Ich halte es für besser das Geld in einen Leo-Server mit Accountverwaltung, automatischer Softwareverteilung etc. zu investieren. Seit es die Geschäftskundenfinanzierung / Leasing gibt kann man schon für >100 € / Monat die Voraussetzungen hierfür schaffen. (Werde im Januar einen der Linux-Server gegen einen Xserve ersetzen).

@MacbookUser92

Bei den Postings auf die Du Dich beziehst kamen die Ironie-Tags nicht raus.

@User mit Airportproblemen

Solltet ihr hinter einer Extreme mit DHCP und fest vergebenen DNS-Server sitzen, kontrolliert bitte die Informationen in obigen Links.
P.S.: Ich bin mir sicher, daß nicht nur Porno-Seiten versuchen Schadcode "unterzujubeln".

Werde mich mal an den Autor des Zweiten Artikels wenden. Vielleicht komme ich so an ein Exemplar.

Bin leider kein Sicherheitsfachmann. Vielleicht kann jemand die obigen Informationen fachlich ergänzen.

Gruß

Volker

 

@ Domino ... auch bei mir scheint die Ironie nicht so recht durchzukommen.

Die Macs führen mit ungefähr einem Dutzend Exemplaren unter mehr als 2000 Dosen ein echtes, nur ungern geduldetes, Minderheitendasein. :frown:
Bis ich vor ein paar Jahren damit anfing, wollte sich niemand aus unsrer IT mit dem Thema Support für diese Geräte beschäftigen ... und heute vertreten ein paar Kollegen immer noch diese Meinung. Von daher dürfte die Einführung eines extra Server und der gleichen Mechanismen/Sicherheitsverfahren wie bei den Dosen ein schwer durchzukriegendes Projekt sein. Da mag ja dann auch keiner Geld reinstecken, statt dessen wird man versuchen die paar Macs irgendwie loszuwerden ... passen ja eh nicht in die Landschaft. :crazy:
Bisher liefen die nur geduldet mit, weil unsereins beweisbar darlegen konnte das von den Maschinen keinen Gefahr für das Unternehmensnetz ausgeht ...
Und nun das :cry:

Aber recht hast Du, spätestens um die Updates für die Firewall/Virenscannersoftware sauber zu verteilen.

Weis denn jemand ob die automatische Verteilung von Updates mit McAfee ePolicy Orchestrator auch für den Mac funktioniert ? Dann hätten wir es leichter ... dann könnte man Virex auf den Maschinen einsetzen und vom Windowsserver aus versorgen !

 

Hi,

ja es ist leider so, daß die geehrten MSCE's versuchen alles was nicht mit MS zusammenhängt zu blockieren.

Hier mal die billigste Lösung um zu einem gemanagtem Mac-Netzwerk zu kommen.

- ADC-Partnerschaft für 500 € / Jahr (Hardwarerabatt + Zeitlich begrenzte OSX-Server Lizenz)

- Mac Mini

Mit dem Leo-Server können auch Win-Boxen (mit bestimmten Einschränkungen) administriert werden.

Macht mit einem Backuplaufwerk (Time Machine) ca. 30 € / Monat bei unlimitierter Useranzahl!

Für das gespaarte Geld (mehrere Tausend Flocken) an MS-Lizenzen könnt ihr bei Apple oder einem Applepartner locker noch einen Spezialisten für die Einrichtung der Infrastruktur buchen.

Bei mir hat das Abschaffen der MS-Infrastruktur einiges an Mitteln freigesetzt. Da ich selbst Chef bin hat mir auch keiner widersprochen.

Gruß

Volker

 

Ja ja , die Kollegen aus der Netzwerkbetreuung, dem 2nd Level Support und Ihr teurer Kurs ... :moust:

Ja - das wäre schon eine gute Idee , das Netz ein wenig umzustellen... aber da ist das Mutterhaus mit einer noch viel umfangreicheren MS-Infrastruktur davor ! Von den ganzen externen sogenannten "Dienstleistern" und deren Kram ganz zu schweigen.
Da gibt es absolut null komm gar keine Chance ! :angry:

 

Hi,

es hat einige Zeit gedauert das Teil ausfindig zu machen.


Generell muß man ihn mit einem Admin-Account installieren.
Bei mir war dann wirklich die Internetverbindung nicht mehr zu gebrauchen, da durch die Netzwerkkonfiguration (Router, DHCP etc.) keine Verbindung zum "untergejubelten" DNS-Server hergestellt werden konnte.

Ein browsen mit Safari war nicht möglich.

Die Schadsoftware wurde mittels Demoversion von Macscan ohne Probleme vollständig entfernt.

http://macscan.securemac.com/

Trojaner heißt in diesem Fall einfach eine Software, die etwas anderes macht als das was man sich davon versprochen hat. (In diesem Fall ein Quicktime-Codec um Britney nackt zu sehen :crazy: )
Der Autor vertraut darauf, daß wir Männer mit unserem ... denken. :shake:

Gruß

Volker

 

Der Autor weiß, dass wir mit unserem ... denken.

 

Hier noch etwas "offizielles" von Apple.

http://docs.info.apple.com/article.html?artnum=108009-de

Der Artikel ist zwar schon mehr als 3 Jahre alt, hat aber nichts von seiner Aktualität verloren. (für uns ... gesteuerte :embar: )