Abonnieren
![Blitz [Illustration]](http://www.lisardo.biz/images/news/biltz.gif "Blitz [Illustration]"){kind=small}
Offensichtlich wurde heute der erste ernstzunehmende Trojaner für OS X entdeckt. Regelrechten Schaden richtet er derzeit noch nicht an, er nistet sich jedoch in Programme ein und versucht, sich über iChat zu verbreiten. Dabei nützt er keine Schwachstellen des Systems aus, sondern funktioniert über »social engineering«, spekuliert also auf die Mithilfe der Anwender.
Es kursieren momentan Dateien mit der Bezeichnung »latestpics.tgz« oder »latestpics.tgz.tar«. Sie enthalten angeblich JPG-Bilder vom neuen 10.5-System von Apple, in Wirklichkeit aber einen Schadcode. Wird das Archiv doppelt geklickt, so packt sich der Trojaner aus. Erst nach einem erneuten Doppelklick wird der Trojaner gestartet und installiert sich, beziehungsweise versucht, sich in ausführbare Programme zu schreiben. Wenn der Benutzer als Admin arbeitet (was bekanntlich die Regel ist), so funktioniert das auch. Der Rechner ist danach infiziert. Wenn der Benutzer nicht als Admin arbeitet, installiert sich der Trojaner im Benutzerverzeichnis, kann aber sonst nichts weiter ausrichten.
Eine gute Zusammenfassung ist bei fscklog zu finden. Bei ambrosiasw.com läuft eine (englische) Diskussion zu diesem Thema
Soweit momentan bekannt, richtet er keinen größeren Schaden an. Er kopiert sich selbst in den Source-Code der Programme und hindert diese dadurch am Starten – diese Eigenschaft scheint aber unabsichtlich zu passieren. Er versucht hauptsächlich, sich über iChat an Personen in der Kontaktliste zu versenden.
Man muss diese Dateien bekommen, entweder über iChat oder als Emailanhang. Zudem muss man die Datei auspacken und doppelt klicken, erst dann wird der Trojaner aktiv. Beste Absicherung ist also wie immer, Dateien von unbekannten Anwendern generell nicht zu öffnen.
Es handelt sich meines Erachtens das erste Mal tatsächlich um eine Bedrohung, und nicht nur um ein wichtigtuerisches Aufbauschen (wie zuletzt beim Keylogger-Virus, den Symantec entdeckt haben wollte). Dass es irgendwann kommt, war klar; was mich überrascht ist der Weg, den der Trojaner einschlägt, nämlich ausgerechnet über iChat. Andererseits ist es auch wieder logisch, da iChat alle Möglichkeiten bietet für die Verbreitung von Trojanern: Adressbücher, Dateiübertragung und Skriptfähigkeiten. Und es steht nicht in so öffentlicher Aufmerksamkeit wie Safari oder Mail.
Die Absicherung ist in diesem Fall noch recht einfach: Da ich iChat nicht nutze, bin ich praktisch nicht bedroht – Emailanhänge von unbekannten Absendern öffne ich generell nicht, somit kann von dieser Seite auch nichts passieren.
Trotzdem wäre es langsam an der Zeit, dass die Anti-Viren-Software für den Mac so langsam funktionsfähig wird. Im Moment legen die Anti-Viren-Programme für den Mac noch mehr normale Programme lahm als Viren.
Bei Heise gibt es jetzt einen interessanten zusammenfassenden Artikel. Insbesondere die folgende Anleitung finde ich interessant:
Als zusätzliche Maßnahme kann man durch geschickte Rechtevergabe verhindern, dass sich der Virus im Verzeichnis
/InputManagerfestsetzen kann:Legen Sie, falls noch nicht vorhanden, mit dem Programm Terminal das Verzeichnis
/Library/InputManagersmitsudo mkdir /Library/InputManagersan. Übereignen Sie es mitsudo chown root:wheel /Library/InputManagersdem Super-User root und seiner Gruppe wheel. Mitsudo chmod go-w /Library/InputManagersstellen Sie sicher, dass nur root etwas hineinschreiben darf. Analog verfahren Sie mit~/Library/InputManagers. Diese Änderungen beinträchtigen die Funktion bereits vorhandener InputManager nicht. Für diese Vorgehensweise müssen Sie als Administrator angemeldet sein, sudo verlangt außerdem nach einem gültigen Kennwort.
Gut, das ist nachvollziehbar und leicht umzusetzen. Habe ich einfach mal bei mir gemacht; negative Konsequenzen scheint es nicht zu haben.
Von Peter am 16.02 um 19:13 Uhr. Kategorie: Mac-OS-X
Trackback-URL: http://www.lisardo.biz/trackback/293/Q2vXL5Qd/