Dipl.-Inform. Carsten Eilers

Der Trojaner wird immer mehr zum digitalen Bettvorleger: Es gibt zwar Neuigkeiten, aber wieder nur von Kaspersky und Seculert. Merkwürdig, oder? Sollten nicht langsam alle anderen Antivirenhersteller auf den Zug aufgesprungen sein? Also entweder gibt es keinen Zug, oder es lohnt sich nicht, weil es nur eine Bummelbahn ist, die sowieso nicht weit fährt. Egal, Kaspersky hat jedenfalls eine neue Version samt neuen Command&Control-Server entdeckt (von dem die neuen Version aber keine Befehle holt - was soll das denn?) und die Beschreibung der ersten Version vervollständigt.

Die einzige weitere neue Meldung zu Mahdi stammt von Seculert, die Kaspersky ja auf den Trojaner aufmerksam gemacht hatten. Und zwar eine Erklärung für die abweichenden Verbreitungszahlen im ersten Text von Seculert und dem Text von Symantec: Wie schon von mir vermutet dürfte die Ursache die unterschiedliche Sichtweise der Beteiligten sein, so dass Symantec nur einen Teil der Infektionen sieht.
Und dann hat Seculert noch eine Verbindung zu Flame entdeckt: Mahdi verwendet eindeutige Identifier für die verschiedenen Kampagnen (das ist nichts besonderes), die mit bestimmten Prefixes beginnen. Und ein Prefix ist Flame, und die erste Infektion, die dieses Prefix verwendete, wurde Anfang Juni entdeckt, als Kaspersky erstmal über Flame berichtet hat. Zufall oder Absicht, dass ist hier die Frage.

Übrigens könnte es sein, dass die iranischen Atomanlagen schon wieder Ziel eines Angriffs sind, wie Mikko Hypponen von F-Secure berichtet hat. Aber daran dürfte Mahdi unbeteiligt sein.

Apples Griff nach Ihren Daten

Falls Sie Apples neue Systemversion "Mountain Lion" schon installiert und die Diktierfunktion aktiviert haben, haben Sie es hoffentlich schon gelesen (es steht im Kleingedruckten, dass sie abnicken müssen, damit die Funktion aktiviert wird): Ihr Rechner sendet die Audioaufnahme an Apples Server, auf denen die Spracherkennung läuft. Und damit die die Namen aus Ihrem Umfeld korrekt erkennt, wird gleich noch Ihr Adressbuch mitgeschickt und alles für eine unbestimmte Zeit aufbewahrt. Zwar ist das hochladen "opt-in", passiert also nicht ohne Ihre Zustimmung, aber wenn Sie einmal zugestimmt und die Funktion genutzt haben, sind die Daten auf Apples Server und bleiben da für eine unbestimmte Zeit. Vermutlich auch dann, wenn Sie die Funktion ausschalten (was jederzeit möglich ist).

OK, damit hat sich die Funktion dann für mich erledigt. Was soll ich mit einer Diktierfunktion, die ich sicherheitshalber nicht für vertrauliche Texte nutzen darf? OK, das war eine rhetorische Frage. Eigentlich sogar eine Fangfrage. Anderes Thema: Gibt es eigentlich irgend einen Grund, von Snow Leopard auf Mountain Lion zu wechseln, wenn man die neuen Funktionen von Lion schon nicht brauchte, von denen in Mountain Lion ganz zu schweigen?

Leider ist das keine rhetorische Frage, und die Antwort lautet leider "ja": Apple liefert nur für das aktuelle System und dessen direkten Vorgänger Sicherheitsupdates. Da werde ich also demnächst (wenn die "0" hinter der Versionsinformation verschwunden ist, "Early Adopters" sind bekanntlich unbezahlte Versuchskaninchen) in den sauren Berglöwen beißen müssen. Evtl. gibt es dann hier im Blog einen Text, wie man das Biest zähmt und ihn aus seinem Wolkenkuckucksheim holt. Denn die Cloud-Integration ist ja doch ziemlich weit fortgeschritten. Und MEINE Daten wandern auf jeden Fall nicht in die Cloud.

Ein Rootkit für Macbooks

Auf der gerade zu Ende gegangenen Konferenz "Black Hat USA 2012" hat Loukas K ein Rootkit für die EFI-Firmware der Macbooks vorgestellt: "De mysteriis dom jobsivs: Mac EFI Rootkits". Alles Wesentliche hat Fefe dazu schon geschrieben. Kurz zusammengefasst: Wenn ich ein Gerät in den Fingern habe, kann ich damit machen, was ich will. Natürlich auch ein Rootkit installieren. Und über Thunderbolt hat man ohne Backdoor von außen DMA-Zugriff auf den Hauptspeicher (was ja schon bei Firewire ein bekanntes Problem war) - aber den nutzt Loukas K gar nicht.

Einen Kommentar von mir gibt es noch zur letzten Aussage im von Fefe verlinkten Heise-Artikel (den ich hier wegen des drohenden Presse-Leistungsschutzrechts nicht verlinke, auch wenn Blogger wohl außen vor bleiben sollen): Es ist Loukas K ein Leichtes, den Schadcode um Funktionen z.B. zum Öffnen einer Backdoor zu erweitern. Das schreit geradezu nach einem "Ach?"

Ein neuer Mac-Schädling

Es gibt mal wieder einen neuen Schädling für Mac OS X: Crisis bzw. Morcut (wenn sich die Antivirenhersteller doch bloss mal ein System einfallen lassen würden, um solche doppelten Namen zu verhindern). Berichte darüber gibt es z.B. von Sophos, Symantec, Trend Micro, Intego und Kaspersky (wo in einem Kommentar behauptet wird, es handle sich um eine legale Überwachungssoftware eines italienischen Herstellers, die nur an z.B. Polizeibehörden verkauft wird).

Der Schädling ist ein Trojaner und kommt als JAR-Datei daher, die Schadocde für Mac OS X und Windows enthält. Die Schadfunktion ist, wie nicht anders zu erwarten, das Öffnen einer Hintertür samt den üblichen Überwachungsfunktionen. Außerdem werden Kamera und Mikrofon genutzt, um den Benutzer auszuspionieren.

Und weil ich gerade bei Apple und Schadsoftware bin: Im iOS App Store wurde Windows-Schadcode gefunden. Der kann zwar den iOS-Geräten nichts anhaben, hat dort aber natürlich trotzdem nichts zu suchen. Und dabei ist es völlig egal, ob die App zufällig infiziert oder absichtlich präpariert wurde.

Und dann noch ein letzter Link: Charlie Miller hat auf der Black Hat Angriffe auf die NFC-Funktionen von Smartphones vorgestellt. Und dann soll man NFC zum Bezahlen verwenden? Besser wohl nicht, oder?

Carsten Eilers