Dipl.-Inform. Carsten Eilers

Am 27. Oktober meldete Intego einen neuen Trojaner für Mac OS X. Der OSX/Koobface.A getaufte Schädling wurde als Mac-Version des Koobface-Wurms eingestuft, der sich über Social Networks wie Facebook, MySpace und Twitter verbreitet.

Der Trojaner gelangt als Java-Applet auf die Rechner und besteht aus einer ganzen Reihe von Komponenten. Technisch betrachtet, verbreitet sich OSX/Koobface.A wie ein Wurm, wird als Trojaner installiert und umfasst verschiedene Funktionen wie ein Rootkit, eine Backdoor und Command&Control-Funktionen. Der Einfachheit halber wird der Schädling von Intego als Trojaner bezeichnet.

Erste Details

Die Verbreitung erfolgt über Links zu bösartigen Websites, die überwiegend (aber nicht ausschließlich) über Social Networks verbreitet werden. Angeblich gibt es auf den Seiten ein Video zu sehen, tatsächlich wird aber Java-Applet geladen. Das ist soweit nichts Neues, den Trick benutzen verschiedene Schädlinge, u.a. der "Facebook-Wurm" Koobface schon seit Jahren. Statt eines Java-Applets werden auch andere Möglichkeiten zum Einschleusen von Schadsoftware verwendet, insbesondere Drive-by-Infektionen.

Die Benutzer werden in diesem Fall vom System darauf hingewiesen, dass ein Java-Applet mit nicht vertrauenswürdiger Signatur Zugriff auf den Rechner erhalten möchte. In der Detailanzeige erfahren sie dann, dass das Applet von "PhotoAlbum" signiert wurde und dem zugehörigen, selbst erzeugten Root-Zertifikat nicht vertraut wird. Erlaubt ein Benutzer trotzdem den Start des Applets, wird der Rechner infiziert. Dafür werden Dateien von verschiedenen Servern nachgeladen und im unsichtbaren Ordner .jnana im Home-Verzeichnis des aktuellen Benutzers gespeichert.

Funktionierts, oder funktionierts nicht?

Diese nachgeladenen Dateien enthalten Schadcode für Mac OS X, Linux und Windows, der von einem ebenfalls nachgeladenen Installationsskript ausgeführt werden soll. Zum damaligen Zeitpunkt endete die Infektion an diesem Punkt, da entweder die "malicious malware" (gibt es auch nicht-bösartige Schadsoftware?) Fehler enthält oder die kontaktierten Server inaktiv sind oder falsche Komponenten liefern.

Parallel berichtete SecureMac über einen dort als trojan.osx.boonana.a bezeichneten Trojaner, der identisch mit Integos OSX/Koobface.A ist. Im Gegensatz zu Intego konnte SecureMac jedoch ein funktionsfähiges Exemplar untersuchen. Der Installer manipuliert demnach Systemdateien, um Passwort-Abfragen zu unterlaufen und den Zugriff auf alle Dateien zu ermöglichen. Außerdem installiert sich der Trojaner als automatisch startender Hintergrund-Prozess und sendet regelmäßig Informationen an Command&Control-Server. Der Installer wird ohne die sonst übliche Warnung vor aus dem Internet geladenen Programmen gestartet, und eine Passworteingabe ist nicht erforderlich.

Zur Verbreitung des Trojaners werden laut SecureMac außer Benutzerkonten von Social Networks auch E-Mails verwendet. SecureMac hat eine ausführliche Analyse des Trojaners veröffentlicht und ein Tool zum Entfernen eines installierten Trojaners bereit gestellt.

Gegenmaßnahmen

SecureMac rät, als Schutzmaßnahme Java im Webbrowser auszuschalten. Intego verlässt sich auf die Intelligenz der Benutzer und rät nur, den Start des Java-Applets zu verbieten. Die Lösung von SecureMac ist auf jedem Fall sicherer, wer hat nicht schon mal aus Nachlässigkeit den falschen Button angeklickt? Außerdem kann der Trojaner sich ja als beliebiges Programm tarnen, und wenn man sowieso jeden Java-Applet-Start verbieten würde, kann man Java auch gleich ausschalten.

Intego und SecureMac weisen außerdem auf die eigenen Virenscanner hin (wer hätte das gedacht?) und SecureMac gibt zusätzlich u.A. den alten, längst überholten Tipp, nur vertrauenswürdige Websites zu besuchen.

Auch Linux betroffen

Jerome Segura von ParetoLogic hat die Infektion eines Linux-Systems untersucht. Auch unter Linux wird kein Passwort abgefragt, allerdings übersteht der Trojaner hier keinen Neustart (was sich aber ändern ließe). Aber meist reicht die Zeit zwischen zwei Reboots aus, um alle für die Cyberkriminellen interessanten Informationen zu sammeln. Oder wie oft rebooten Sie ihre Rechner, insbesondere mit Linux? Hauptziel des Trojaners ist nach Seguras Einschätzung aber Mac OS X.

Boonana kein Koobface-Abkömmling

Am 28. Oktober stellt Graham Cluley von Sophos fest, dass der dort Troj/Boonana-A genannte Trojaner technisch nicht zur Koobface-Familie gehört, wenn er auch mit ihr vergleichbar ist. Cluley zu Folge verbreite sich der Trojaner vor allem über Facebook, wobei die Nachricht

IMPORTANT! PLEASE READ. Hi [Benutzername]. Is this you in this video here : [Link]

verwendet wird. Ein Video zeigt den Ablauf der Infektion.

Auffallend ist, dass im Video eine Passwortabfrage durch das Installationsprogramm erfolgt, die laut SecureMac nicht erforderlich ist. Eine Erklärung für diese Diskrepanz ist mir nicht bekannt.

Weitere Analysen, diesmal detaillierter

Symantec nennt den Trojaner Trojan.Jnanabot (führt in der Liste betroffener Systeme aber nur Windows-Versionen auf und unterschlägt Mac OS X und Linux) und hat ebenfalls eine Analyse veröffentlicht. Der zu Folge besteht der Trojaner aus sieben Komponenten:

1. Bibliotheken für Mac OS X, Linux für AMD64- und x86-Maschinen und Windows für x86-Maschinen,
2. der Hauptkomponente in Form einer .jar-Datei zur Kontrolle aller Bestandteile,
3. einer Komponente zur Installation des Trojaners sowie späterer Updates,
4. einer IRC-Komponente zur Kommunikation mit den C&C-Servern,
5. einem Keylogger,
6. einer Krypto-Komponente für Windows und Mac OS X zum Entschlüsseln gepackter Dateien und
7. einer Facebook-Komponente.

Die Facebook-Komponente wurde von Symantec genauer untersucht. Sie späht über Ajax den Authentifizierungs-Cookie für Facebook aus, um dann die Freundes-Liste des Opfers zu lesen. Danach wird an jeden der Freunde eine Nachricht mit dem Text

As you are on my friends list I thought I would let you know I have decided to end my life. For reasons that will be clear please visit my video on this site. Thanks for being my friend. [Link]

gesendet. Außer der Facebook-Komponente wurde von Symantec auch die IRC-Komponente untersucht, die den Cyberkriminellen eine ganze Reihe (für sie) nützlicher Funktionen bereit stellt, z.B. für DoS-Angriffe, zum Spam-Versand, zum Ausspähen von Informationen und zum Ausführen weiterer Programme.

Microsoft reiht sich ein...

Microsoft hat für einige der Komponenten ausführliche Beschreibungen veröffentlicht und stellt ebenfalls ausdrücklich fest, dass es sich um eine eigenständige Trojaner-Familie handelt und nicht um Exemplare von Koobface.

Neue Versionen in kurzer Folge

Am 4. November hat SecureMac bereits die nächste Variante des Trojaners entdeckt und trojan.osx.boonana.b genannt. Graham Cluley von Sophos berichtet parallel sogar von mehreren beobachteten Varianten. Während die Funktionalität gleich blieb, wurde der Code aufwändiger getarnt, um einer Entdeckung durch Virenscanner zu entgehen. Bisher erfolglos.

Kein Java-Problem

Um eines klar zu stellen: Boonana ist zwar in Java geschrieben, nutzt aber keine Java-Schwachstellen aus. Zwar nimmt die Ausnutzung von Java-Schwachstellen seit einiger Zeit stark zu, in diesem Fall nutzen die Cyberkriminellen aber nur die Möglichkeit, ihren Schadcode dank Java systemübergreifend ausführen zu können - genau so, wie es viele harmlose Programme auch tun. So, wie andere Trojaner z.B. in C oder VisualBasic geschrieben wurden, wurde Boonana in Java geschrieben. Der einzige Unterschied: Die in C oder VisualBasic geschriebene Trojaner laufen nur auf einem System, Boonana auf allen, auf denen es eine Java Virtual Machine gibt. Der von Boonana nachgeladene Schadcode ist dann teilweise wieder an die jeweiligen Systeme angepasst, es ist also ggf. für jedes "unterstützte" Systeme eine eigene Version der jeweiligen Komponente nötig.

Mac- und Linux-User: Vertreibung aus dem Paradies

Weder Mac- noch Linux-Benutzer können sich in Zukunft noch sicher fühlen: Auch ihre Systeme wurden von den Cyberkriminellen als Ziele entdeckt. Die im Vergleich zu Windows deutlich geringere Verbreitung macht vielleicht eine Entwicklung spezieller Schädlinge unattraktiv, für einen systemübergreifenden Schädling bieten sie aber allemal genug Potential, um sie nicht ungeschoren davon kommen zu lassen.

Sophos hat am 2. November die Mac-Version des eigenen Virenscanners für den privaten Gebrauch frei gegeben und am 18. November erste Ergebnisse veröffentlicht. Demnach besteht ein Teil der auf Macs gefundenen Schadsoftware aus Java-basierten Angriffe, die im Rahmen von Drive-by-Infektionen auf die Rechner gelangten, dann aber keinen Schaden mehr anrichten konnten, da sie bisher nur Windows-basierten Schadcode nachluden. Dies kann sich nun jederzeit ändern. Wenn die Cyberkriminellen schon mal einen Fuß in der Tür haben, werden sie kaum darauf verzichten, weiter vor zu dringen, wenn sie die Möglichkeit dazu haben.

Lebt denn der alte Conficker noch?

Auf Platz 19 der 20 am häufigsten auf Mac gefundenen Schädlingen befindet sich übrigens der RPC-Wurm Conficker. Der kann zwar keinen Mac infizieren, wird aber auch über USB-Stick verbreitet und dort dann natürlich auch auf dem Mac vom Virenscanner gefunden. Da es um Conficker in letzter Zeit sehr ruhig geworden ist: Der Wurm erfreut sich nach wie vor bester Gesundheit.

Carsten Eilers