Skip to content

Macs und Schadsoftware, in allen möglichen Varianten

Heute gibt es mal wieder ein Sammelsurium an Kommentaren zu verschiedenen Themen, die aber alle eins miteinander verbindet: Sie haben etwas mit Schadsoftware auf dem Mac zu tun, zumindest indirekt.

Windows-Schädlinge auf Macs

Sophos berichtet, dass auf einem von fünf untersuchten Macs (also 20% davon) Windows-Schadsoftware gefunden wurde. Die läuft darauf natürlich nicht (wenn man mal von Infektionen vorhandener Windows-Installationen absieht), auf einem Windows-Rechner infizierte Dateien bleiben aber natürlich infiziert, wenn man sie auf einen Mac kopiert - und infizieren unter Umständen den nächsten Windows-Rechner, auf den sie vom Mac kopiert werden.

Eigentlich wundert mich an der Meldung nur eins: 20% der untersuchten Macs enthielten Windows-Schädlinge - mehr nicht? Ich hätte eigentlich mit mehr gerechnet. Aber wahrscheinlich macht sich da der Rückgang an Viren bzw. File-Infector-Schädlingen bemerkbar, es gibt einfach weniger auf den ersten Blick harmlose, aber trotzdem infizierte Dateien, die auf die Macs kopiert werden können.

Aber das ist ja schon meine Rede seit anno dunnemals: Alle Rechner können zum Einfallstor von Schadsoftware werden, nicht nur die, auf denen die betreffenden Schädlinge laufen. Wenn man ein lokales Netz mit Virenscannern vor eindringenden Schädlingen schützen will, muss man auf allen Systemen Scanner installieren. Das hat früher auf der CeBIT immer mal wieder für nette Diskussionen auf den Antivirenhersteller-Ständen geführt: Eine Mac-Version gibt es nicht, und wenn der Mac Windows-Schädlinge verbreitet, erkennt die ja unser Windows-Scanner.

Was dabei übersehen wird: Es gibt Dateien, die bekommen die Windows-Rechner im eigenen Netz gar nicht zu sehen, und wenn die dann per Mail oder Dateiupload oder was auch immer weiter gegeben werden, infizieren sie u.U. einen fremden Rechner. An wen wird sich das Opfer wohl wenden, wenn es merkt, wem er den Schädling verdankt? Zum Glück gibt es ja Virenscanner für Server, die können dann da die bekannten Schädlinge raus fischen. Und die unbekannten... die würde der Scanner auf dem Windows-Rechner u.U. auch nicht erkennen.

Apropos "erkennen": Es gibt einen schönen Cartoon auf "I Can Barely Draw", der das Thema "Flashback und Virenscanner" sehr treffend zusammenfasst.

Schädling für Mac und Windows gleichzeitig

Symantec und Sophos berichten über einen Schädling, der über die auch von Flashback ausgenutzte Java-Schwachstelle eindringt und sowohl Windows als auch Mac OS X infiziert. Ausgehend von einem Java-Applet wird unter Windows eine .exe-Datei geladen, die dann eine DLL zum Öffnen einer Backdoor nachlädt, während unter Mac OS X ein Python-Script geladen wird, dass dann aus sich selbst heraus ein weiteres Python-Script mit einer Backdoor installiert.

Nach dem Erfolg von Flashback war ja mit weiteren Mac-Schädlingen zu rechnen, aber das die Cyberkriminellen sich jetzt alle auf diese eine Java-Schwachstelle stürzen, ist doch ziemlich lahm. Vor allem, weil Apple die inzwischen behoben hat und durch die vielen Berichte inzwischen auch dem letzten Mac-Benutzer klar sein sollte, dass er das Java-Update installieren muss. Wenn er das denn kann, und genau da liegt der Hase im Pfeffer: Benutzer von Mac OS X vor 10.6 bleiben ungeschützt, da es für sie von Apple keine Updates mehr gibt. Und vermutlich haben die Cyberkriminellen es genau auf diese Rechner abgesehen.

Und was den Schädling an sich betrifft: Wann da wohl die Linux-Variante nachgeliefert wird? Nicht, dass sich die Linux-User am Ende benachteiligt fühlen, so ganz ohne Angriff über die Java-Schwachstelle.

Flashback-Version ohne Passwortabfrage

Intego berichtet über eine neue Flashback-Variante, die sich unbemerkt vom Benutzer installiert. Auf die Verdacht erregende Abfrage des Administrator-Passworts wird verzichtet, es gibt also wie erwartet die erste richtige Drive-by-Infektion, die einen Rechner beim Besuch einer präparierte Webseite unbemerkt vom Benutzer mit Schadsoftware infiziert. Da bin ich ja mal gespannt, wann es die ersten Nachahmer und/oder Abwandlungen dieses neuen Erfolgsmodells gibt.

ESET vs. Spion

Flashback ist schon seit einiger Zeit nicht mehr der einzige Mac-Schädling "in the wild". Der zweite bekannte Trojaner wird als "Lamadai" bezeichnet und vor allem zum Ausspionieren von Nicht-Regierungsorganisationen (Non-Governmental Organizations, NGO) mit Verbindungen zu Tibet verwendet. ESET hat den Trojaner schon vor einiger Zeit analysiert und jetzt auch das Verhalten des Angreifers nach der Infektion beschrieben.

Konkret wurden dem Angreifer auf einem absichtlich infizierten Rechner einige Dateien mit interessanten Namen auf dem Präsentierteller serviert. Heruntergeladen hat er davon die Dateien mit dem Namen tibet_army_status.docx, tibet_army_status2.docx und vermutlich zur Erholung naked_scene.jpg. An den Dateien 2012_report.doc, application.zip und im5744.jpg hatte er kein Interesse. Vielleicht hätte ESET die auch mit etwas "Tibet" im Namen würzen sollen.

Die Dateien enthielten wohl nicht ganz das, was der Angreifer erwartet hatte, und nach ein paar weiteren Runden "Katz und Maus" (oder "Hase und Igel"?) hatte er dann keine Lust mehr und wollte wie ein schmollendes Kleinkind seine Sandburg kaputt machen. Das er dabei immer nur ein "Permission denied" erntete, dürfte ihn noch mehr frustriert haben. Das hat er nun davon.

Conficker - einfach nicht tot zu kriegen

Nachdem die Verbreitung von Flashback ja mit der von Conficker zu dessen Glanzzeiten verglichen wurde und das Flashback-Botnet nun ständig kleiner wird (oder auch nicht), stellt sich die Frage, was denn eigentlich Conficker macht. Immerhin ist der schon 4 Jahre alt, für viele Schädlinge ein Alter, in dem sie sich langsam zur Ruhe setzen. Nicht so Conficker, wie Microsoft berichtet hat. Conficker war "the number one threat facing businesses for the past two and a half years." Das klingt nicht nach Rente, nicht mal nach Altersteilzeit. Ursache dürfte u.A. die Verbreitungsmethode der letzten Varianten des Wurms sein: Die verbreiten sich überwiegend über Netzwerkfreigaben mit schwachen Passwörtern und finden anscheinend vor allem in Unternehmensnetzen reiche Beute. Wie sieht es eigentlich mit Ihren Passwörtern aus?

Die Daten stammen übrigens aus Microsofts 12. Security Intelligence Report, der noch weitere interessante Informationen enthält.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Kommentare zu PostgreSQL, Ad-Blockern, AT&T Passwortregeln und mehr

Vorschau anzeigen
Die Themen heute: PostgreSQL ergreift vor der Veröffentlichung eines Sicherheitsupdates eine zweifelhafte Schutzmaßnahme, Ad-Blocker können vor Drive-by-Infektionen schützen, und AT&T verwendet unsichere Passwortregeln. Au&s

Dipl.-Inform. Carsten Eilers am : Ist BadBIOS möglich? Teil 3: Angriffe auf mehrere Systeme und mehr

Vorschau anzeigen
In dieser Folge dreht sich weiter alles um die Frage, ob ein Super-Schädling wie es der von Dragos Ruiu beschriebene BadBIOS sein soll, möglich ist. Sprich, ob seine Funktionen so oder so ähnlich bereits irgendwo implementiert wur

Dipl.-Inform. Carsten Eilers am : Es ist da: Mein Buch "iOS Security - Sichere Apps für iPhone und iPad"

Vorschau anzeigen
Ich habe gestern die Belegexemplare meines neuen Buchs "iOS Security - Sichere Apps für iPhone und iPad" bekommen, ab sofort ist es auch im Buchhandel erhältlich (sowohl gedruckt als auch als eBook). Den Inhalt kenne ich ja schon etwas l&