Trojaner im Umlauf

geschrieben von eumel
20/06/2008

Kommt ja nicht oft vor, aber es ist ein Trojaner für OS X im Umlauf, der entweder als Applescript ASthtv05 oder als Programm getarnt sein soll und sich über iChat und Limewire verbreitet. Der Trojaner, der zum Zweck angelegt ist, Passwörter auszuspähen, Tastatureingaben zu speichern und Dateifreigaben zu aktivieren, nutzt eine Lücke in einer Komonente des ARD (Apple Remote Dektop) der es möglich ist, Applescripte mit Rootrechten zu starten.
MacTechNews zeigt zwei Möglichkeiten auf, dem Root-Kit zu Leibe zu rücken:

Sollte sicht von selbst verstehen, das diese Aktionen nur mit Administratorrechten durchgeführt werden können. Ich denk mal, da durch, dass ich weder Limewire noch iChat nutze, dürfte ich eh auf der sicheren Seite sein. Aber man weiß ja nie, ob nicht doch mal der Ernstfall eintrifft! ;)

MacTipps

Wenn du dieses Posting interessant findest, kannst du einen Kommentar hinterlassen oder als Feed abonnieren.

Kommentare
Kommentar by dan on 20/06/2008 @ 13:01 Zitieren

Ich empfehle Version 2 – ist eine Sache von wenigen Sekunden. Ist aber schon ein Ding, dass so ein Trojaner nun auch für Mac OS X im Umlauf ist. Wir sehene, die perfekte Sicherheit gibt es nicht. o.0

Kommentar by eumel on 20/06/2008 @ 14:03 Zitieren

Naja, um das Ding aber zu Spionagezwecken nutzen zu können, müsste derjenige jedoch selber vor dem Mac sitzen oder über eine Internetverbinung verfügen, dann jedoch würde theoretisch sogar der Gastzugang reichen.

Kommentar by Adrian on 20/06/2008 @ 17:46 Zitieren

Bei Variante 2 labbert das Terminal was von Passwort. Ist damit ein neues gemeint oder was? O.o Sorry, bin Noob.

Aber trotzdem toll, dass es diese Lösungen gibt, obwohl ich auch weder LimeWire noch iChat benutze. Aber lieber übervorsichtig sein!

Kommentar by dan on 20/06/2008 @ 17:56 Zitieren

@Adrian

Ja, du nutzt ja sudo, wie du der Zeile entnehmen kannst, die du da kopiert hast – und das verlangt dein ganz normales Passwort (ich gehe mal davon aus, dass du wie die meisten einen Administrator-Account auf deinem Mac hast)

Mehr Infos: http://de.wikipedia.org/wiki/Sudo

Kommentar by davidak on 22/06/2008 @ 02:27 Zitieren

Hab gleich mal die Version 2 angewendet.
Habe mir seit ich von Windows vor knapp 2 Jahren weg bin über sowas überhaubt keine Gedanken gemacht.

Ich nutze nur einmal die Woche iChat, denn ich mach das meiste mit Skype.

Aber sicher ist sucher.

Kommentar by Adrian on 23/06/2008 @ 07:07 Zitieren

dan schrieb:

@Adrian

Ja, du nutzt ja sudo, wie du der Zeile entnehmen kannst, die du da kopiert hast – und das verlangt dein ganz normales Passwort (ich gehe mal davon aus, dass du wie die meisten einen Administrator-Account auf deinem Mac hast)

Mehr Infos: http://de.wikipedia.org/wiki/Sudo

Ist es normal, dass ich das Passwort selber nicht sehe (ich glaub, dass hab ich mal gelesen) und dass keine Bestätigung oder so kommt.

Kommentar by dan on 23/06/2008 @ 07:10 Zitieren

@Adrian

Rischdisch! :)

Kommentar by Greg on 23/06/2008 @ 09:01 Zitieren

Hallo, habe versucht die Version 2 anzuwenden und es hat wohl nicht geklappt:

siehe:
——————————————————
Last login: Mon Jun 23 08:02:36 on console
Welcome to Darwin!
flymart:~ Flymart$ sudo chmod u-s
Password:************
usage: chmod [-fv] [-R [-H | -L | -P]] [-a | +a | =a [i][# [ n]]] mode|entry file …
flymart:~ Flymart$ /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents,
-bash: /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents,: No such file or directory
flymart:~ Flymart$
————————————————————–

was habe ich falsch gemacht ???

Grüsse Greg

Kommentar by dan on 23/06/2008 @ 10:41 Zitieren

@Greg

Noch mal Schritt für Schritt, das hilft vielleicht:

1) Öffne Terminal

2) Kopiere von hier folgende Zeilen

sudo chmod u-s /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent

3) Kopiere diese Zeilen ins Terminal

4) Drücke Return

5) Nun wirst du nach deinem Passwort gefragt, gib es bitte ein

6) Wenn du nun KEINE Meldung bekommst, hast du alles richtig gemacht

Noch mal zum Hintergrund: Sudo ist eine Möglichkeit, ohne generelle Root-Rechte einen Befehl als Root auszuführen. So gesehen ist “sudo” also ganz anders als “su -”, über den man GENERELLEN Zugang zu allen Root Ressourcen bekommt. Was ich aus dem Shell-Log oben sehen kann, konnte der Befehl nicht ausgeführt werden, weil Sudo da etwas ins Leere gelaufen ist. Ich kann mich aber irren.

Übrigens finde ich es vom Autoren von chmod auch nicht gerade elegant, dass man per default kein Feedback über den Prozess bekommt. Sicher geht das irgendwie – bei Interesse in der Shell einfach mal “man chmod” eingeben, mir fehlt dazu leider gerade die Zeit. :)

Hope this helps.

Kommentar by Greg on 23/06/2008 @ 10:52 Zitieren

Super, KEINE Meldung bekommen.

Danke und Grüsse Greg

Pingback by Mac Trojaner im Umlauf | davidak Blog on 23/06/2008 @ 12:02 Zitieren

[...] MacTechNews, heise.de, fscklog, Eumel blogt, MacVillage, Autor: davidak Datum: 23. Juni 2008 Uhrzeit: 12:00 Views: 2 Views [...]

Pingback by ARD-Patcher 1.1 - Eumel blogt on 07/07/2008 @ 11:36 Zitieren

[...] 20. Juni habe ich von der Möglichkeit berichtet, wie unter Umständen über den Apple Remote Desktop einem Trojaner ungewollt der Zugriff [...]

Hinterlasse einen Kommentar