Apfelwerk GmbH & Co. KG
Apple Support in Stuttgart
Bahnhofstraße 82
70806 Kornwestheim
Tel. +49 711 981495-40
www.apfelwerk.de
Home
Blog
Team + Impressum
Referenzen
Know How
Partner
Verwandte Themen:
Anti-Viren-Software für Mac:
Mehr Schaden als Nutzen?
OSX/Flashback.I erkennen
und entfernen
DNS-Changer auf Mac?
MacDefender: Katz-und-Maus-Spiel mit Apple
Mac Defender/Mac Protector/Mac Security: Scareware für Mac
Mac-Viren: Sophos mal wieder (gähn!)
Mac Viren: bisher nur Falschmeldungen
|
|
Informationen zu Viren, Würmern, Makro-Viren und Trojanern für Apple Macintosh.
Die aktuelle Lage :
Seit Erscheinen des Mac OS X im Jahr 2000 gibt es keinen Virus, der sich selbständig installiert und verbreitet. Den 31 bekannten Viren für das alte Betriebssystem Mac OS 6-9 (bis 1999) stehen hunderttausende Windows-Viren gegenüber. Zwar gibt es einige wenige (schlecht funktionierende) Trojaner für OS X, jedoch ist die Gefährdung des Mac im Vergleich zu anderen Betriebsystemen sehr gering.
Zwischen September und Dezember 2011 wurden 5 neue Trojaner bekannt - während im gleichen Zeitraum mehrere Hundert neue Schädlinge für Windows bekannt wurden.
Die Situation ist zwar noch entspannt, die Einschläge kommen jedoch näher. OS X rückt aufgrund seiner steigenden Verbreitung langsam ins Visier der Malware-Autoren.
"Mac OS X ist wie das Landleben auf einem Bauernhof ohne Türschlösser, und Windows ist wie das Leben hinter vergitterten Fenstern im Elendsviertel der Stadt."
Charlie Miller
Die bisher bekannte Malware für Mac OS X (Stand 11.04.2012)
- Viren: 0
- Trojaner: 18 AppleScript.THT, RSPlug.A, .F, .D, Imuler, Lamzev.A, Revir, Trojan.iServices.A + B, Tored-A, Jahlav-C, HellRTS, Koobface.A, Tsunami, OSX/MusMinim-A, DevilRobber.A, OSX/Flashback (inklusive aller Proof-of-Concepts und aller nie in freier Wildbahn aufgetauchten Trojaner)
- Scareware: 1 OSX/MacDefender
- Makro-Viren: diverse für MS Office X bis 2011
Die bisher bekannte Malware für Mac OS 6-9 (bis 1999):
- Viren, Würmer und Trojaner: 31
- Makro-Viren: diverse für MS Office
Die von Virenschutzprogramm-Herstellern gerne beschworene Gefahr durch Trojaner für Mac OS X kann ebenso noch als gering eingestuft werden, denn alle bisher bekannten Trojaner für Mac OS X erfordern die aktive Mithilfe des Computerbenutzers:
1 - Download von nicht vertrauenswürdigen Websites
2 - Öffnen des Installers aus dem Download
3 - Eingabe des Admin-Passwortes beim Installationsprozess
Sollte ein Mac mit einem Virenschutz ausgestattet sein?
Diese Frage wird kontrovers diskutiert. Fünf Argumente erscheinen uns dabei wesentlich:
Argument 1: Bislang konnte kein Hersteller von Anti-Malware-Software für Mac nachweisen, dass ein Mac mit Virenschutzprogramm sicherer ist und stabiler läuft als ohne.
Argument 2: Immer wieder ist zu hören: "Bislang blieb der Mac verschont. Aber nächstes Jahr wird es ganz schlimm kommen." Diese Voraussagen wiederholen sich regelmäßig, die Viren-Schwemme für Mac bleibt jedoch Jahr für Jahr aus ... seit Entwicklung von Mac OS X Public beta im Jahre 2000.
Argument 3: Mit zunehmenden Marktanteilen wird Apple Macintosh verstärkt ins Visier der Malware-Programmierer rücken, denn die Malware-Autoren sind längst professionalisiert und weit entfernt von der ursprünglichen Hacker- und Nerd-Mentalität. Mit Viren und Trojanern wird heutezutage Geld verdient. Wenn der Anteil von OS X am Gesamtmarkt genügend groß sein wird, dass sich OS X-Malware lohnt, dann wird diese entstehen.
Argument 4: Trojaner für Mac OS X waren bis Anfang 2011 geradezu lächerlich schlecht programmiert, weil sie meistens als Variante von Trojanern für Windows entstanden - mit Programmierwerkzeugen, die für Windows-Malware entwickelt wurde. Es ist zu erwarten, dass künftig solche Malware-Programmierwerkzeuge auch spezifisch für Mac OS X entstehen werden.
Argument 5: Ein Mac OS X-Computer sollte mit einem aktuellen Virenschutz ausgestattet sein, um beim Datenaustausch mit anderen Nutzern keine Windows-Viren weiterzuverbreiten – und um für die Zukunft gerüstet zu sein, falls tatsächlich ein Virus für Mac OS X erscheinen sollte.
|
Die Liste der bisher bekannten Malware für Mac OS X (Stand 03.06.2011):
|
| Amphinix-A |
|
Typ: Trojaner
(Proof of Concept)
System: Mac OS X
Alias: MAC.Amphimix
MAC_MP3CONCEPT.A
MP3Concept
MP3Virus.gen |
|
Die Firma Intego, Hersteller von Antivirus-Software für den Mac, warnt vor einem so genannten "Trojaner" für MacOS X, den sie als "the first Trojan horse that affects Mac OS X" einstufen. Es handelt sich hierbei um einen Proof-Of-Concept, d.h. eine (harmlose) Demonstration. Alle möglichen Schäden, die Intego in der Pressemitteilung erwähnt, sind (derzeit) lediglich theoretischer Natur und werden von dieser Trojaner-Demo nicht verursacht.
Die Demo wurde von Bo Lindbergh in einem Newsgroup-Posting veröffentlicht und funktioniert folgendermassen: Es handelt sich um ein Programm, das im Finder wie eine MP3-Datei angezeigt wird. Und tatsächlich enthält es auch MP3-Daten, so dass es bei einem Doppelklick in iTunes abgespielt wird. Gleichzeitig wird aber eben auch das Programm gestartet. Die Demo zeigt also, dass man unaufmerksame User dazu bringen kann, ein Programm auszuführen, während sie glauben, es mit einer harmlosen MP3-Datei zu tun zu haben. Wie man in dem Screenshot sieht, wird die Datei, trotz MP3-Icon, vom Finder aber korrekt als Programm erkannt und auch als solches angezeigt.
Bei der Demo handelt es sich um ein Carbon-Programm und darauf beruht auch die ganze Täuschung. Während sich nämlich der Programmcode in der Resource-Fork versteckt, enthält die Daten-Fork die MP3-Daten. Das schränkt (glücklicherweise) auch die Chancen auf Verbreitung eines so aufgebauten Trojaners ein, denn die Resource-Fork würde bei einem Download aus dem Internet verloren gehen - das Programm muss immer gepackt (als StuffIt-Archiv) oder entsprechend kodiert (als Binhex-Datei) werden. Der Trick kann mit MacOS X-nativen Programmen (Cocoa-Applikationen) so nicht wiederholt werden. |
|
|
|
|
|
| ANTI |
|
Typ: Virus
System: Mac OS 9
Varianten:
ANTI-A
ANTI-B |
|
Das Virus ANTI trat zum ersten Mal 1989 in Frankreich auf. Die erste Variante dieses Virus war ANTI-A. Die zweite Variante namens ANTI-B wurde im Jahre 1990 entdeckt. Dieses Virus infizierte Anwendungsprogramme, aber keine System- und Datendateien. Das Virus ANTI kann nur Macintosh-Betriebssysteme bis zum System 6 befallen.
Dieses Virus, dessen Name von der eingebetteten Textzeichenfolge "ANTI" abgeleitet wurde, war ein relativ gefährliches Virus, da es Anwendungsprogramme beschädigte, die dann nicht mehr einwandfrei funktionieren konnten. Vom Virus ANTI infizierte Anwendungsprogramme können nicht repariert werden, sodass eine Neuinstallation dieser Anwendungsprogramme erforderlich ist. Diese Beschädigung der infizierten Anwendungsprogramme wurde höchstwahrscheinlich nicht vom Programmierer dieses Virus beabsichtigt, da sich das Virus lediglich selbst reproduziert und keine anderen Auswirkungen nach sich zieht.
Es sieht so aus, als sei die Variante ANTI-B noch vor der Variante ANTI-A entwickelt worden, da die Variante ANTI-A Programmcode enthält, der die Variante ANTI-B neutralisiert. Bis auf diesen Unterschied ähneln sich die beiden Varianten sehr. |
|
|
|
|
|
| Apl S/Simpsons-A |
|
Typ: Wurm
System: Mac OS 9
Alias:
Mac.Simpson
MacSimpson
Mac/Simpson@mm
MacSimpsons |
|
This is an AppleScript worm that is designed to propagate with MacOS 9.0 (or higher), and Microsoft Outlook Express 5.02. It arrives as an email attachment using the following information:
"Subject: Secret Simpsons Episodes!
Body:
Hundreds of Simpsons episodes were just secretly produced and sent out on the internet, if this message gets to you, the episodes are enclosed on the attachment program, which will only run on a Macintosh. You must have system 9.0 or 9.1 to watch the hilarious episodes, in high quality. Just download and open it.
From, [Sender's Name]"
Attachment: Simpsons Episodes
Running this AppleScript results in Internet Explorer navigating to the URL:
http://www.snpp.com/episodeguide.html
The script copies itself to the folder: System Folder:Startup Items.
Indications of Infection
- Presence of unusual AppleScript in the Startup Items folder
- Mail correspondence stating that you've sent them a file when you did not
Method of Infection
This is an AppleScript worm that is designed to propagate with MacOS 9.0 (or higher), and Microsoft Outlook Express 5.02. It arrives as an email attachment. Running this attachment infects the local machine which is then used to propagate the virus.
Removal Instructions
- Reboot your system with the extensions turned off
- Delete the file System Folder:Startup Items:Simpsons Episodes |
|
|
|
|
|
AppleScript.THT
|
|
Typ: Trojaner
System: OS X 10.4 u. OS X 10.5
Alias:
ASthtv05
AStht_v06 |
|
Zuerst gemeldet von: SecureMac am 19.6.2008
Beschreibung:
Eine Schwachstelle im ARDAgent von Max OS X 10.4 und 10.5 ermöglicht es, AppleScripts mit Root-Rechten zu starten, die ihrerseits wieder Shell-Befehle enthalten können.
Diagnose:
Die Schadsoftware installiert sich im Ordner Library/Caches und installiert sich als Startobjekt. Sie soll, wenn sie freien Zugriff auf das System erhält, eine Reihe von Systemnachrichten dektivieren, in der FireWall bestimmte Ports öffnen und das System-Logging aktivieren. Darüber hinaus soll AppleScript-THT in der Lage sein, Tastatur-Anschläge aufzuzeichnen, Bilder mit der iSight-Camera zu schießen und Dateifreigaben zu öffnen.
Damit sich ein potentieller Angreifer die Lücke zunutzen machen kann, muss er angemeldet sein - egal, ob er direkt vor dem Computer sitzt oder nur per Remote Desktop auf den Rechner zugreift.
Abhilfe:
Der Exploit funktioniert nicht, wenn unter Mac OS X 10.5 "Systemeinstellungen/Sharing/" die Option "Entfernte Verwaltung" aktiviert ist – was standardmäßig nicht der Fall ist. Ähnliches ist der Fall, wenn unter Mac OS X 10.4 der Apple Remote Desktop Client installiert und aktiviert ist; ARDAgent startet in diesem Fall keine Prozesse ohne Passwortabfrage.
Jedoch: der Trojaner "AppleScript.THT" verbreitet sich NICHT selbständig und führt sich NICHT selbständig aus. Die Schadsoftware muss in Form eines AppleScripts mit Namen "ASthtv05" (60 Kilobyte groß) oder in Form einer Applikation (gewöhnlich "AStht_v06" mit der Größe von 3,1 Megabyte) heruntergeladen werden und gestartet werden. Wer wie gewohnt keine zweifelhaften Dateien öffnet, ist vor diesem Trojaner sicher
Die Softwarehersteller Intego und SecureMac teilten am 19.6.2008 mit, dass ihre Antivirenprogramme den neuen Trojaner bereits erkennen und außer Gefecht setzen können. |
|
|
|
|
|
Autostart
|
|
Typ: Wurm
System: Mac OS 6-9
Alias:
Hong Kong
MacOS.AutoStart
Varianten:
Autostart-A
Autostart-B
Autostart-C
Autostart-D
Autostart-E
Autostart-F |
|
Dieser erste Macintosh-Wurm wurde im Mai 1985 entdeckt. Er verbreitete sich schnell über Südostasien und danach über den gesamten Erdball. Der Wurm tritt in folgenden Varianten auf: AutoStart-A, AutoStart-B, AutoStart-C, AutoStart-D, AutoStart-E und AutoStart-F.
Dieser Wurm kann sich nur verbreiten, wenn beim betroffenen Macintosh die Funktion "Auto-Start" von QuickTime aktiviert ist und eine mit dem Wurm infizierte CD-ROM beim Betriebssystem angemeldet wird. Der Wurm kopiert sich selbst in Form mehrerer Dateien in den Ordner "Systemerweiterungen". Die Dateien haben folgende Bezeichnungen: "Desktop Print Spooler", "Desktop Print Spooler" oder "DELDesktop Print Spooler".
Der AutoStart-Wurm kann gravierende Schäden verursachen, indem er Dateien löscht und Daten zerstört. Die verschiedenen Varianten attackieren unterschiedliche Dateitypen. Beschädigte Dateien werden mit "Datenmüll" überschrieben und können weder repariert noch wiederhergestellt werden. Mit dem AutoStart-Wurm infizierte Macintosh-Computer fallen durch eine außergewöhnlich große Anzahl von Festplattenzugriffen in Zeitintervallen von 3, 6, 10 oder 30 Minuten auf. Unter Umständen ist im Menü "Programme" das Programm "Desktop Print Spooler" zu sehen. |
|
|
|
|
|
| CDEF |
|
Typ: Virus
System: Mac OS 6 |
|
Das Virus CDEF wurde zuerst im Jahre 1990 in Ithaca im US-Bundesstaat New York entdeckt. Kurz danach wurde der Programmierer dieses Virus, von dem auch das Virus WDEF stammt, verhaftet. Der Name dieses Virus kommt daher, dass es eine CDEF-Ressource in den Macintosh-Schreibtischdateien verwendet, um sich zu reproduzieren. CDEF-Ressourcen sind normalerweise in bestimmten Anwendungsprogrammen und auch in der Systemdatei enthalten. Dies bedeutet, dass eine Datei, in der diese Ressource enthalten ist, nicht unbedingt mit dem Virus CDEF infiziert sein muss. Schreibtischdateien enthalten aber normalerweise keine CDEF-Ressource.
Das Virus CDEF infiziert ausschließlich Schreibtischdateien und verbreitet sich auf diese Weise von Datenträger zu Datenträger, da der Macintosh beim Anmelden eines Datenträgers die darauf befindlichen Schreibtischdateien ausliest. Dieses Virus wurde nicht programmiert, um Schäden zu verursachen, kann aber wie viele anderen Computerviren zu Fehlfunktionen eines Macintosh führen.
Im Jahre 1993 wurde eine zweite Variante des Virus CDEF entdeckt, die sich nur geringfügig von der ersten Variante unterscheidet. |
|
|
|
|
|
| ChinaTalk |
|
Typ: Trojaner
System: Mac OS 6-9 |
|
Eine Systemerweiterung, die vorgibt, eine weibliche Stimmdatei für MacinTalk zu sein. Löscht die Festplatte. |
|
|
|
|
|
| CODE 252 |
|
Typ: Virus
System: Mac OS 6-7 |
|
Das Virus CODE 252 wurde im Jahre 1992 in den USA entdeckt. Es infiziert sowohl die Systemdatei als auch Anwendungsprogramme. Wenn ein damit infizierter Macintosh zwischen dem 6. Juni und dem 31. Dezember eines beliebigen Jahres gestartet wird, erscheint folgende Meldung auf dem Bildschirm:
You have a virus.
Ha Ha Ha Ha Ha Ha Ha
Now erasing all disks...
Ha Ha Ha Ha Ha Ha Ha
P.S. Have a nice day
Ha Ha Ha Ha Ha Ha Ha
(Click to continue...)
Trotz dieser Meldung löscht das Virus keine Dateien. Zu jeder anderen Zeit des Jahres (also vor dem 6. Juni) kopiert sich das Virus nur selbst aus Anwendungsprogrammen in die Systemdatei und von dort in andere Anwendungsprogramme. Unter System 7 gab es Systemabstürze und beschädigte Dateien; allerdings kopierte sich das Virus nicht in andere Anwendungsprogramme. Dieses unsachgemäß programmierte Virus verursacht Systemabstürze und andere Schäden, da sein Programmcode mehrere Fehler enthält. |
|
|
|
|
|
| CODE 32767 |
|
Typ: Virus
System: Mac OS 9 |
|
Dieses Virus wurde im Jahre 1997 entdeckt und ist sehr selten. Das Virus versucht einmal im Monat, Dokumente zu löschen. |
|
|
|
|
|
| CODE 9811 |
|
Typ: Virus
System: Mac OS 9 |
|
Das Virus CODE 9811 wurde im November 1998 in Schweden entdeckt. Es verbirgt Anwendungsprogramme und ersetzt diese durch Dateien mit willkürlich gewählten Namen, die zudem "Datenmüll" enthalten. Mit einer Wahrscheinlichkeit von 25 % erscheint an Montagen die folgende Meldung auf dem Bildschirm des mit diesem Virus infizierten Macintosh: "You have been hacked by the Praetorians". Gleichzeitig erscheinen symbolisch gezeichnete Würmer auf dem Schreibtisch des Macintosh. Dieses Virus versucht auch, Antivirussoftware vom Systemdatenträger des infizierten Macintosh zu löschen. |
|
|
|
|
|
| CODE-1 |
|
Typ: Virus
System: Mac OS 6-9
Alias: Code 1 |
|
Das Virus CODE-1 wurde zuerst im Jahre 1993 in den USA entdeckt. Es ist weitgehend unschädlich und infiziert lediglich die Systemdatei sowie Anwendungsprogramme. Wenn der mit diesem Virus infizierte Macintosh am 31. Oktober eines beliebigen Jahres gestartet wird, benennt das Virus den Systemdatenträger in "Trent Saburo" um. Dieses Virus kann sich zwar auf andere Macintosh-Computer verbreiten, verursacht aber nur Systemabstürze und beschädigt Anwendungsprogramme. |
|
|
|
|
|
| Cowhand-A |
|
Typ: Trojaner
(Proof of Concept)
System: Mac OS X
Alias:
Cowfight Underhand Trojan Server |
|
Cowhand-A ist ein Proof of Concept von www.cowfight.com aus dem Jahr 2004 für einem Proxy-Trojaner für Mac OS X.
Das Programm soll sich im Ordner "Preferences" und "Startup Items" einnisten. Cowhand-A erlaube Hackern, den infizierten Computer als Proxy für Internet-Verbindungen zu nutzen, um die tatsächliche IP des Hackers zu verschleiern.
(Quelle: Sophos)
Die Autoren verfolgen das Konzept des Proxy-Trojaners nicht mehr weiter, weil es erwiesenermaßen nicht funktioniert.
www.fscklog.com schreibt treffend:
"Sophos Kunden können übrigens beruhigt sein: sie werden schon seit vergangenem Freitag (22.4.2005) vor dem (nicht funktionsfähigen) Trojaner geschützt. Man will ja wissen, wo man sein Geld für ausgegeben hat." |
|
|
|
|
|
| CPro |
|
Typ: Trojaner
System: Mac OS 6-9 |
|
Found in a file named CPRO141.SEA, looks like an update to a popular file / compression program.
•If the CPro application is run, it attempts to format mounted hard disks and floppy disks.
•Only successful in formatting floppy disks. |
|
|
|
|
|
| Exploit.OSX.Safari.a |
|
Typ: Wurm
(Proof of Concept)
System: Mac OS X 10.4 |
|
Am 21. Februar traten zum ersten Mal zwei gegen MacOS X gerichtete Zero-Day-Exploits auf: Exploit.OSX.Safari.a, entdeckt von Michael Lehn, und Exploit.OSX.ScriptEx.a., gefunden von oben genanntem Kevin Finisterre. Über beide Exploits wurde in IT-Medien ausführlichst berichtet.
Exploit.OSX.Safari attackiert den Apple-Webbrowser Safari. Aufgrund einer Sicherheitslücke in Safari führte der Download bestimmter ZIP-Dateien aus dem Internet zur Ausführung schädlichen Codes. Diese Schwachstelle wurde im Apple-Sicherheitsupdate 2006-001 gepatcht. |
|
|
|
|
|
| Exploit.OSX.ScriptEx.a |
|
Typ: Wurm
(Proof of Concept)
System: Mac OS X 10.4 |
|
Das Exploit.OSX.ScriptEx.a ist ein Exploit einer Sicherheitslücke in der Mail-Applikation für MacOS X. Ausgelöst wird er durch das Senden eines besonders konstruierten E-Mail-Anhangs. Die Schwachstelle selbst ist ein Pufferüberlauf (Buffer Overflow), der durch das Auswerten des Ursprungsnamensbereichs (Real Name) der MIME-codierten Macintosh-Datei ausgelöst werden kann. Eine sorgfältige Auswahl von Größe und Inhalt des Ursprungsnamens kann zur Ausführung eines willkürlichen Codes und damit zur Installation eines Trojaners oder eines anderen Schadprogramms führen. Dieser Code kann zudem benutzt werden, um vollständige Kontrolle über den Opfer-Rechner zu erlangen. Dieses Problem wurde durch das Apple-Security-Update 2006-002 gelöst. |
|
|
|
|
|
| Flag |
|
Typ: Virus
System: Mac OS 6-9
Alias: WDEF-C |
|
Das Virus Flag infiziert die Systemdatei und überschreibt die WDEF-Ressource mit der ID 0. Hierdurch können Probleme entstehen. Dieses Virus ist jedoch nicht sehr gefährlich. Es scheint heute nicht mehr in Umlauf zu sein. |
|
|
|
|
|
| FontFinder |
|
Typ: Trojaner
System: Mac OS 6-9 |
|
•Trigger date of Feb 10th, 1990
•Before date, displayed lists of fonts and point sizes in the System file
•On or after date, destroys directories of all mounted volumes |
|
|
|
|
|
| Frankie |
|
Typ: Trojaner
System: Mac OS 6-9 |
|
Das Virus Frankie stammt aus Deutschland, ist sehr selten und attackiert nur bestimmte Macintosh-Emulatoren auf Atari- und Amiga-Computer. Es sieht so aus, als solle sich dieses Virus gegen Anwender richten, die illegale Software einsetzen. Das Virus bewirkt, dass folgende Meldung auf dem Bildschirm des Computers erscheint: "Frankie says: No more piracy!". Der infizierte Atari-Computer stürzt dann ab. Macintosh-Computer werden von diesem Virus nicht infiziert. Allerdings verbreitet sich das Virus durch Infizieren von Anwendungsprogrammen, wobei Kopien davon einen Macintosh-Emulator auf einem Atari- oder Amiga-Computer infizieren können. |
|
|
|
|
|
| INIT 17 |
|
Typ: Virus
System: Mac OS 6-9
Alias: MacOS.Init |
|
Das Virus INIT 17 wurde im Jahre 1993 in Kanada entdeckt. Es infiziert die Systemdatei sowie Anwendungsprogramme. Wenn ein mit diesem Virus infizierter Macintosh am 31. Oktober 1993 nach 06:06:06 Uhr gestartet wurde, erschien auf dem Bildschirm die folgende Meldung: "From the depths of Cyberspace". Diese Meldung wurde nur ein einziges Mal angezeigt.
Dieses Virus war sehr fehlerhaft programmiert und verursachte auf einigen Macintosh-Computern mit dem Prozessor MC68000 Systemabstürze. Dies geschah eher unabsichtlich als absichtlich. |
|
|
|
|
|
| INIT 1984 |
|
Typ: Virus
System: Mac OS 6-9
Alias: MacOS.Init |
|
Das Virus INIT 1984 wurde im Jahre 1992 in den Niederlanden und in den USA entdeckt. Wie viele anderen Viren wird auch dieses Virus nur aktiv, wenn der infizierte Macintosh am 13. eines Monats gestartet wird, wenn dieser auch ein Freitag ist. Wie das Virus INIT?M kann dieses Virus eine Vielzahl von Ordnern und Dateien beschädigen, indem es ihre Namen durch willkürlich gewählte Zeichenfolgen ersetzt. Dieses Virus ändert auch den Dateityp ("type") und die Kennung des Erzeugerprogramms ("creator") in willkürlich gewählte Zeichenfolgen aus 4 Zeichen, wodurch keine korrekte Zuordnung zu den Dateisymbolen möglich ist und die Dateien unbrauchbar werden. Dies kann nur rückgängig gemacht werden, indem der ursprüngliche Dateityp und die ursprüngliche Kennung des Erzeugerprogramms wiederhergestellt werden. Das Erstellungsdatum und das letzte Änderungsdatum dieser Dateien werden auf den 1. Januar 1904 gesetzt.
Dieses Virus infiziert ausschließlich Systemerweiterungen ("INITs"). Das Virus verbreitet sich nicht so schnell wie Viren, die Anwendungsprogrammen attackieren, da Systemerweiterungen nicht so häufig wie Anwendungsprogramme von einem Macintosh-Benutzer an andere weitergegeben werden. |
|
|
|
|
|
INIT 29
|
|
Typ: Virus
System: Mac OS 6-9
Alias: MacOS.Init.29
Varianten:
INIT 29 A
INIT 29 B |
|
Dieses Virus wurde im Jahre 1988 und eine zweite Variante im Jahre 1994 entdeckt. Die beiden Varianten werden gelegentlich als INIT 29 A und INIT 29 B bezeichnet.
Bei INIT 29 handelt es sich um ein sehr gefährliches Virus. Es infiziert System-, Anwendungsprogramm- und Dokumentendateien, die allerdings keine anderen Dateien infizieren können.
Dieses Virus verbreitet sich lediglich und richtet keinen eigentlichen Schaden an. Nach dem Einlegen einer schreibgeschützten Diskette ins Diskettenlaufwerk bewirkt das Virus die Anzeige der folgenden Meldung:
The disk "xxxx" needs minor repairs.
Do you want to repair it?
Infizierte Macintosh-Computer reagieren auf dieses Virus gelegentlich mit Systemabstürzen, Druckproblemen usw. |
|
|
|
|
|
| INIT-M |
|
Typ: Virus
System: Mac OS 6-9
Alias:
INIT M |
|
Das Virus INIT-M wurde im Jahre 1993 in den USA entdeckt. Es ist sehr gefährlich und wird an jedem 13. eines Monats aktiv, wenn dieser auch ein Freitag ist. Dieses Virus kann eine Vielzahl von Ordnern und Dateien beschädigen, indem es ihre Namen durch willkürlich gewählte Zeichenfolgen ersetzt. Dieses Virus ändert auch den Dateityp ("type") und die Kennung des Erzeugerprogramms ("creator") in willkürlich gewählte Zeichenfolgen aus 4 Zeichen, wodurch keine korrekte Zuordnung zu den Dateisymbolen möglich ist und die Dateien unbrauchbar werden. Dies kann nur rückgängig gemacht werden, indem der ursprüngliche Dateityp und die ursprüngliche Kennung des Erzeugerprogramms wiederhergestellt werden. Ferner setzt dieses Virus das Erstellungsdatum und das Datum der letzten Änderung auf den 1. Januar 1904. In manchen Fällen löscht das Virus auch Dateien und/oder lässt Fenster fehlerhaft darstellen.
Das Virus INIT-M kann Dateien aller Typen infizieren und erzeugt im Ordner "Preferences" zusätzlich eine Datei namens "FSV Prefs" |
|
|
|
|
|
| INIT-9403 |
|
Typ: Virus
System: Mac OS 6-9
Alias: SysX |
|
Dieses Virus wird auch als SysX bezeichnet. Es wurde im Jahre 1994 in Italien entdeckt. Derzeit werden damit nur Macintosh-Computer infiziert, auf denen eine italienische Version des Macintosh-Betriebssystems läuft. Dieses Virus ist sehr gefährlich: es löscht Dateien und versucht, aktuell beim Betriebssystem angemeldete Datenträger zu löschen. Es sieht so aus, als sei dieses Virus zusammen mit illegaler Software verbreitet worden. Es infiziert den Finder sowie bestimmte Kompressions- und Archivierungsprogramme. |
|
|
|
|
|
| Makro-Viren |
|
Typ: Makro
System:
Mac OS 6-9 und OS X
Anmerkung: mehr als 4.000 Varianten für Mac OS 6-9 bekannt |
|
Beschreibung:
Das erste echte Makrovirus hieß "Concept"; es attackierte Microsoft-Word-Dateien. Varianten dieses Makrovirus folgten Schlag auf Schlag, da die Virenprogrammierer aufgrund der Verwendung des Textverarbeitungsprogramms Microsoft Word durch Millionen von Computerbenutzern die Möglichkeit sahen, großen Schaden anzurichten. Später wurden auch Makroviren speziell für Microsoft Excel programmiert. Innerhalb von nur 5 Jahren nach dem Auftauchen des ersten Makrovirus wurden Tausende dieser Computerviren programmiert.
Die große, von Makroviren ausgehende Gefahr besteht darin, dass es sich um die ersten Computerviren für unterschiedliche Computerplattformen handelt. Über viele Jahre hinweg konnten sich die Benutzer von Macintosh-Computern relativ gut vor Computerviren geschützt fühlen, da es für den Macintosh nur ein paar Dutzend Viren gab, während es Windows-Benutzer mit Abertausenden von Viren zu tun hatten. Doch nun, seit dem Auftauchen der ersten Makroviren, sehen sich auch Macintosh-Benutzer mit dem Problem der Computerviren konfrontiert.
Die meisten Makroviren für Microsoft Word verwenden Befehle wie AutoOpen, AutoClose, AutoExec und AutoExit. Hierbei handelt es sich um Befehle, die ausgeführt werden, wenn eine bestimmte Aktion stattfindet. Diese vier Aktionen werden beim Arbeiten mit jeder Datei ausgeführt. Wenn ein Makrovirus beispielsweise so programmiert wäre, dass es sich nur dann in eine andere Datei kopiert, wenn ein bestimmter Menübefehl aufgerufen wird, würde es sich mit geringerer Geschwindigkeit verbreiten.
Deshalb treten die meisten Makroviren bereits beim Öffnen einer Datei in Aktion, um sich dann in die gleichzeitig geöffnete Vorlage zu kopieren. Diese Vorlage wird nicht eigens vom Benutzer, sondern automatisch im Hintergrund geöffnet. Vorlagen enthalten bestimmte Anpassungsinformationen und auch zulässige Makrobefehle, die vom Benutzer in der Vorlage gespeichert wurden.
Das häufigste Makrovirus für Microsoft Word kopiert sich selbst in die momentan aktive Vorlage, ändert einige Menüoptionen, sodass die Vorlage nicht mehr geändert werden kann, ändert den Dateityp (wodurch die zugeordneten Symbole geändert werden, sodass die Dateien als Vorlagen erscheinen) und kopiert nun das Makrovirus aus der infizierten Vorlage in alle zukünftig geöffneten oder neu erstellten Dateien. Dieses Makrovirus kann gelöscht werden, indem die aktive Vorlagendatei und alle infizierten Dateien gelöscht werden.
Andere Makroviren können noch weitaus gefährlicher werden. Sie können Ihre Dateien beschädigen oder löschen, bestimmte Funktionen des entsprechenden Anwendungsprogramms unzugänglich machen, und vieles mehr. Makroviren sind plattformunabhängig, d.h. sie sind sowohl für PCs mit dem Betriebssystem Windows als auch für Macintosh-Computer gefährlich.
Empfehlung:
Heutzutage stellen Makroviren die gefährlichsten Computerviren für Macintosh-Benutzer dar. Das Problem ist jedoch nicht das Betriebssystem von Apple Macintosh, sondern die Software "Microsoft Office" mit ihren Makro-Funktionen.
Es wird dringend empfohlen, die Makro-Funktionen von Microsoft Office zu deaktivieren und nur in Ausnahmefällen zuzulassen.
|
|
|
|
|
|
| MacMag |
|
Typ: Virus
System: Mac OS 6-9
Alias:
Peace
PeaceKeeper
Worm.Macos.Macmag.A, Worm.Macos.Macmag.B, Worm.Macos.Macmag.C |
|
Dieses Virus wurde fürs Macintosh-Magazin MacMag programmiert und sollte auf den Bildschirmen der damit infizierten Computern eine Friedensbotschaft darstellen, sofern der jeweilige Macintosh am 2. März 1988 gestartet wurde. Anschließend sollte sich das Virus selbst löschen. Das Virus MacMag war ursprünglich Bestandteil eines HyperCard-Stapels namens "New Apple Products" (der also selbst ein Trojanisches Pferd war) und verbreitete sich durch Infizieren der Systemdatei. Das Virus MacMag findet man heute höchstwahrscheinlich nur noch auf alten CD-ROMs usw. |
|
|
|
|
|
MBDF
|
|
Typ: Virus
System: Mac OS 6-9
Varianten:
MBDF A
MBDF B |
|
Dieses Virus wurde dank der internen Virensuchfunktion von Claris-Anwendungsprogrammen im Jahre 1992 in Wales, Großbritannien, entdeckt. Das Virus MBDF wurde ursprünglich über die Spiele "10 Tile Puzzle" und "Obnoxious Tetris" sowie ein Trojanisches Pferd namens "Tetricycle" verbreitet. Im Gegensatz zu den meisten anderen Fällen konnten die Urheber des Virus MBDF, zwei US-amerikanische College-Studenten, dingfest gemacht und überführt werden.
Dieses Virus infiziert sowohl Anwendungsprogramme als auch die Systemdatei, indem eine MBDF-Ressource mit der ID 0 kopiert wird. Wenn die Systemdatei jedoch eine Ressource mit diesem Namen enthält, wird sie nicht verändert.
Obwohl dieses Virus eigentlich nicht schädlich ist, kann es die Systemdatei beschädigen, sodass diese vom Benutzer neu installiert werden muss. Das Virus verursacht auch Probleme mit der Menüdarstellung. Dieses Virus existiert in zwei verschiedenen, aber kaum unterschiedlichen Varianten, MBDF A und MBDF B. |
|
|
|
|
|
| MDEF |
|
Typ: Virus
System: Mac OS 6-9
Alias:
Garfield
Top Cat
TopCat
Varianten:
MDEF-A
MDEF-B
MDEF-C
MDEF-D |
|
Dieses Virus gibt es in vier Varianten: MDEF-A, MDEF-B, MDEF-C und MDEF-D. Die Variante MDEF-A wird gelegentlich als "Garfield" und die Variante MDEF-B als "Top Cat" bezeichnet. Diese beiden Varianten wurden in den Jahren 1990 und 1991 in Ithaca im US-Bundesstaat New York entdeckt. Kurz danach wurde der Programmierer dieses Virus, von dem auch das Virus CDEF stammt, verhaftet.
Der Name des Virus rührt daher, dass sich dieses durch Kopieren einer MDEF-Ressource reproduziert. MDEF-Ressourcen sind normalerweise in bestimmten Anwendungsprogrammen und auch in der Systemdatei enthalten. Dies bedeutet, dass eine Datei, in der diese Ressource enthalten ist, nicht unbedingt mit dem Virus MDEF infiziert sein muss.
Das Virus MDEF attackiert Anwendungsprogramme, die Systemdatei, Dokumentendateien und die Schreibtischdateien. Dieses Virus kann beträchtlichen Schaden anrichten, obwohl dies von seinem Programmierer höchstwahrscheinlich nicht beabsichtigt war. Das Virus kann manche Anwendungsprogramme und andere Dateien beschädigen. |
|
|
|
|
|
| Mosaic |
|
Typ: Virus
System: Mac OS 6-9 |
|
•Destroys directories
•Renames attached disks to "GOTCHA"
•All available unmounted SCSI disks are mounted and destroyed |
|
|
|
|
|
| MW2004 |
|
Typ: Trojaner
(Proof of Concept)
System: Mac OS X
Alias:
AS.MW2004.Trojan
MW2004.Trojan |
|
"AS.MW2004.Trojan", wie Intego den Vorfall nannte, ist ein 108 kB großes kompiliertes AppleScript-Applet, dessen Icon an den Web-Installer von Microsoft Office 2004 für Mac OS X erinnert. Sobald ein Nutzer die Datei anklickt, wird der komplette Home-Order gelöscht. Dabei wird auch die betreffende Datei "MW2004" gelöscht.
Es handelt sich hier nicht um einen echten Trojaner, sondern lediglich um eine Studie, die sich weder selbst verbreitet noch in freier Wildbahn angetroffen wurde. Außer Mac OS X sind keine Betriebsysteme betroffen. |
|
|
|
|
|
nVIR
|
|
Typ: Virus
System: Classic ab Mac OS 4.1
Alias:
noir, AIDS. Fuck, F***
f__k, Hpat, Jude, kOOL, MEV#, nCAM, nFlu, prod, _HIT
Varianten:
nVIR A
nVIR B |
|
"nVIR" wurde im Jahre 1987 in Europa entdeckt. Es gibt die beiden Varianten "nVIR A" und "nVIR B". Dieses Virus ist auch unter mehreren anderen Namen bekannt: "AIDS", "Hpat", "Jude", MEV#", "nFlu" und "Fuck". Deshalb findet sich auf manchen überaus politisch korrekten amerikanischen Websites auch die Bezeichnung "F***" und "f__k"...
Dieses Virus wurde ohne böse Absichten programmiert und vervielfältigt sich durch Infizieren der Systemdatei und von Anwendungsprogrammen. Das Virus lässt ein akustischen Signal ertönen. Wenn auf dem infizierten Macintosh das Sprachausgabesystem MacInTalk installiert ist, ertönt die Ansage:
Don't panic
Diese Effekte treten beim Starten des Betriebssystems, aber mit unterschiedlicher Häufigkeit auf.
Das Virus infiziert Systeme ab Mac OS 4.1.
Es gibt zahlreiche Clones des "nVir" mit verändertem Namen, die jedoch von den gängigen Anti Virus Programmen erkannt werden. |
|
|
|
|
|
| NVP |
|
Typ: Trojaner
System: Mac OS Classic
Alias:
NVP Trojan
NoVowelsPrank
No Vowels Prank |
|
This trojan disguises itself as "New Look" application for modifying the Mac display. This program has "Nvw2" creator (and APPL type). The malicious code is in INIT 5 and PTCH 128 resources of the trojan. If the trojan is run it modifies the System file and copies INIT 5 code into it. The active System file is modified to prevent the letters "a, e, i, o, u" from being entered from the keyboard.
The effect of the trojan can only be seen after restarting the system. Under System 7 mentioned characters cannot be entered any more. Under System 6, the patching takes place, but typing is not affected. |
|
|
|
|
|
| OSX/DevilRobber.A |
|
Typ: Trojaner
System: Mac OS X
Alias:
Backdoor:OSX/DevilRobber.A, Backdoor:BASH/DevilRobber.A, Trojan:BASH/DevilRobber.A, Trojan-Spy:BASH/DevilRobber.A
Varianten:
DevilRobberV3
|
|
Backdoor:OSX/DevilRobber.A beabsichtigt Bitcoin-mining; es könnte möglicherweise auch andere Daten der infizierten Maschine sammeln und weitere Befehle von einem Remote-Computer ausführen.
Interessanterweise prüft das Installationsprogramm, ob auf dem zu infizierenden Computer Little Snitch mit seiner Library-Extension vorhanden ist:
/System/Library/Extensions/LittleSnitch.kext
falls ja, wird die Installation nicht ausgeführt. Falls Little Snitch nicht vorhanden ist, installiert sich die Malware mit folgender Datei als LaunchAgent:
~/Library/LaunchAgents/com.apple.legion.plist
Verbreitung: gering, alle bekannten Infektionsquellen von PirateBay
Weitere Infos: F-Secure und Intego
|
|
|
|
|
|
| OSX.Exploit.Launchd |
|
Typ: Trojaner
(Proof of Concept)
System: Mac OS X
Alias:
NVP Trojan
Trojan.Exploit.Osx.Launch |
|
Am 30. Juni 2006 meldet Symantec den Trojaner "OSX.Exploit.Launchd". Die "Entdeckung" dieser Sicherheitslücke geht auf die Veröffentlichung von Mac OS X 10.4.7 zurück, das eine potentielle Lücke im Prozess launchd schließt. Diese Lücke wurde einen Tag nach Veröffentlichung des Updates 10.4.7 durch seurityfocus.com dokumentiert und von Symantec umgehend in einen "Trojaner" umgewandelt.
Nicht genug, dass hier ein Trojaner erfunden wird, der nicht existiert. Symantec verschweigt zudem, dass das Update Mac OS X 10.4.7 diese potentielle Lücke schließt und gab stattdessen zunächst wilde Tipps zum Patchen der Lücke à la "Configure your email server to block or remove email that contains file attachments that are commonly used to spread viruses, such as .vbs, .bat, .exe, .pif and .scr files" und "Turn off and remove unneeded services." |
|
|
|
|
|
| OSX.Flashback |
|
Typ: Trojaner
System: Mac OS X
Alias:
Flashfake (Kapersky)
BackDoor.Flashback
Variante:
OSX.Flashback.A
OSX.Flashback.B
OSX.Flashback.C
OSX.Flashback.D
OSX.Flashback.E
OSX.Flashback.F
OSX.Flashback.G
OSX.Flashback.H
OSX.Flashback.I
OSX.Flashback.J |
|
Zuerst gemedet von Symantec
30.09.2011
Risk: very low
Tut so, als als wäre er ein Installationsprogramm für Adobes Flash Player.
Variante OSX.Flashback.A wollte noch allen Programmen eine Library unterjubeln, bei Variante .B wird versucht, gezielt Safari und Firefox zu manipulieren, so daß sie die angegebene Library benutzen. Beide Varianten .A und .B waren fehlerhaft; Test ergaben, dass die untergejubelte Library nicht geladen wird.
OSX/Flashback.C unterscheidet sich von .B hauptsächlich darin, daß sie den XProtect-Mechanismus ausschaltet, indem sie einige seiner Dateien löscht. Die dazu erforderlichen Root-Rechte gibt ihr der Benutzer bei der manuellen Installation.
OSX/Flashback.I soll nach Angaben von Doctor Web 1m 4.4.2012 auf über 550.000 Macs verbreitet sein. Laut Doctor Web erfolgt die Infizierung durch die im März 2012 aufgetauchte Variante BackDoor.Flashback.39 über infizierte Websites und Datenübertragungssysteme (Traffic Direction System), die Mac OS X-Anwender auf böswillige Webseiten weiterleiten. Diese Webseiten enthalten ein Java-Skript, der im Browser einen Java-Applet mit einem Exploit herunterlädt.
Apple hat die Sicherheitslücke erst am 3.4. und 5.4.2012 mit Java-Updates für OS X 10.5, 10.6 und 10.7 geschlossen, kündigt eine Software zum Erkennen und Entfernen des Trojaners an und empfiehlt für alle Rechner mit OS X 10.5 oder älter, Java in den Browser-Einstellungen zu deaktivieren.
|
|
|
|
|
|
| OSX/HellRTS.D |
|
Typ: Trojaner
System: Mac OS X
Alias: HellRTS.D
OSX/Pinhead-B (Sophos) |
|
Zuerst gemeldet von: Intego am 14.4.2010
Beschreibung:
OSX/HellRTS.D soll eine Variante eines bereits 2004 aufgetretenen Schädlings sein.
Integos Beschreibung der Fähigkeiten listet allerlei Gemeinheiten auf; u.a. sei HellRTS in der Lage, im infizierten Mac einen eigenen Mailserver zu aktivieren, Dienste wie z.B. Screen Sharing zu aktivieren, sich selbst in verschiedene Dateien zu verstecken und vieles mehr.
Andererseits erfordere der Schädling lt. Intego eine "Installation", die z.B. durch einen Trojaner ausgeführt werden könne ... was nichts anderes heißt, als:
- HellRTS verbreitet sich nicht selbst
- die Installation durch z.B. einen Trojaner erfordert ein Admin-Passwort
Gefährung: sehr gering, seit April 2010 noch nicht in freier Wildbahn aufgetaucht
Verbreitung: bis April 2010 nur durch Tauschforen
Bewertung:
Auch für HellRTS einige "Mithilfe" des Benutzers notwendig, um diese Schadsoftware zu installieren:
- Download des infizierten Disk-Images (iLife 09, Office 2008)
- Installation des Disk-Images mit Eingabe eines Administrator-Passworts
Empfehlung:
- Softwareauschbörsen vermeiden
- keine Installationen von Programmen dubioser Herkunft
- erst denken, dann klicken
Weitere Informationen: Intego, Sophos
|
|
|
|
|
|
| OSX/Imuler.A |
|
Typ: Trojaner
System: Mac OS X
Alias:
Text
Varianten:
Text
|
|
http://www.verbraucher-sicher-online.de/node/3834
http://www.heise.de/mac-and-i/meldung/Apple-aktualisiert-Malware-Definitionsliste-1350346.html |
|
|
|
|
|
| OSX/Imunizator |
|
Typ: Scareware
Alias: OSX/iMunizator, OSX/Imunisator, Troj/MacSwp-B, OSX_MACSWEEP.B, OSX/AngeloScan |
|
Siehe OSX/MacSweep |
|
|
|
|
|
| OSX/Inqtana.A |
|
Typ: Wurm
(Proof of Concept)
System: Mac OS X
Alias:
Inqtana.A [Panda]
OSX/Inqtana-A [Sophos]
OSX/Inqtana.a [McAfee]
Inqtana.A [F-Secure]
OSX_INQTANA.A [Trend]
Worm.OSX.Inqtana.a [Kaspersky]
Inqtana
Variante:
Java.OSX.Inqtana.Gen |
|
Am 18. Februar 2006 wurde MacOS X von einem weiteren Wurm heimgesucht: Inqtana verbreitet sich über Bluetooth und vermehrt sich durch Versenden eines Requests zum Datentransfer mit der Bezeichnung "Object Exchange (OBEX) Push" an Geräte potentieller Opfer. Kommt der Nutzer der Aufforderung nach, so macht sich der Wurm ein Sicherheitsleck in der Bluetooth-Datei und der Object-Exchange-Directory-Traversal zunutze, um Zugang zu Bereichen außerhalb der Bluetooth-Datei und des Object-Exchange-Servicepfads zu erhalten.
Der Wurm hinterlässt zwei Dateien mit den Bezeichnungen com.openbundle.plist beziehungsweise com.pwned.plist für das LaunchAgents-Directory, um sicherzustellen, dass er automatisch startet, sobald das Opfergerät gebootet wird. Eine Datei w0rm-support.tgz mit den Wurm-Komponenten wird unter /Users/ hinterlegt.
Sobald das Betriebssystem gestartet wird, entpackt com.openbundle.plist die Wurmkomponenten, während com.pwned.plist den eigentlichen binären Code des Wurms ausführt. Danach scannt Inqtana das System nach Bluetooth-fähigen Geräten, um sich zu reproduzieren. Anschließend versendet er sich an alle aufgespürten Geräte, die Requests vom Typ Object Exchange (OBEX) Push unterstützen.
Später wurde bekannt, dass Inqtana vom Sicherheitsexperten Kevin Finisterre als Beweis für die Wirksamkeit seines Konzepts geschrieben worden war. |
|
|
|
|
|
| OSX/Jahlav-C |
|
Typ: Trojaner
System: Mac OS X
verwandt mit:
OSX.RSPlug |
|
Zuerst gemeldet von: Sophos am 10.06.2009
Beschreibung:
Der Name OSX/Jahlav-C geht auf Sophos zurück. Der Trojaner ist eine Variante des OSX.RSPlug. Nach der Installation befindet sich unter /Library/Internet Plugins ein Shellskript mit dem Namen 'AdobeFlash', das regelmäßig ausgeführt wird und Kontakt zu einem Server aufnimmt, der weiteren Schadcode zum Nachladen bereitzustellen vermag. Auch diese Variante wird wohl weiterhin benutzt, um die DNS-Einträge von Mac OS X auf Geheiß der Malware umzubiegen.
Der Trojaner verbreitet sich als fehlender Video-Codec bzw. Video ActiveX Object.
Gefährung: sehr gering
Weitere Informationen: Sophos |
|
|
|
|
|
|
OSX/Koobface.A
|
|
Typ: Trojaner (bzw. Wurm/Trojaner)
System: Mac OS X
Alias: Boonana Trojan Horse, trojan.osx.boonana.a |
|
Zuerst gemeldet von: Intego am 27.10.2010
Beschreibung:
Koobface existiert seit längerer Zeit als Trojaner für andere OS-Systeme. Die Variante OSX/Koobface.A zielt erstmals auf Mac OS X ab und verbreitet sich laut Intego-Sicherheitsblog als Wurm, wird von einem Trojanischen Pferd in den Rechner geschleust und startet dort ein Rootkit und andere Dinge. Intego sieht jedoch ein geringes Risiko, denn OSX/Koobface.A sei nicht ausgereift und fehlerhaft programmiert. Eine Infektion konnte Intego nicht nachvollziehen ("Entweder die Malware ist mit Bugs versehen, die ein korrektes Ausführen verhindern, oder die kontaktierten Server sind nicht aktiv oder liefern die Dateien nicht vollständig aus"). Die Verbreitung sei gering.
OSX/Koobface.A verbreitet sich via Java-Applets über Social Network-Sites (darunter FaceBook, MySpace, Twitter). Stand Nov. 2010 tarnt er sich als als Link auf Video-Dateien mit dem Titel Is this you in this video?.
Wenn man auf diesen Link klickt, führt sich der Trojaner zunächst als Java-Applet aus. Das Java-Applet zeigt zunächst die Meldung:
Das Java-Applet ... erfordert Zugriff auf Ihre Daten. Die digitale Signatur kann nicht überprüft werden.
Die Details der digitalen Signatur nennen "Photo Album" als Herausgeber.
Sofern dem Java-Applet Zugriff gewährt wird, werden weitere Dateien über Port 49085 geladen - darunter ein selbst startendes Installationsprogramm. Die geladenen Dateien werden in einem unsichtbaren Ordner (.jnana) im Home-Ordner des gegenwärtigen Benutzers gespeichert.
Das Installationsprogramm zeigt das für alle Programme übliche Authorisierungsfenster und führt sich nicht unbemerkt selbst aus.
Das Installationsprogramm sei in der Lage, Zugriff auf alle Dateien des Computers von außerhalb zu ermöglichen. Zusätzlich installiere OSX/Koobface.A unsichtbare Hintergrundprozesse, die sich regelmäßig mit andere Computern verbinden, um Informationen über das infizierte System zu übertragen. Es wurde berichtet, dass sich der Trojaner nicht nur über Social Network Sites, sondern ebenso via SPAM-Mails verbreitet.
Intego geht davon aus, dass sich in Zukunft weitere Varianten dieses Wurms zeigen werden.
Der Trojaner OSX/Koobface.A ist nicht Mac-spezifisch und befällt ebenso Windows- und Linux-Systeme.
Gefährung: gering (lt. Intego) bzw. kritisch (lt. Securemac)
Schutz: Java im eigenen Browser deaktivieren oder Warndialoge von Java-Applets bewusst zur Kenntnis zu nehmen und bei unklarem Ursprung den Zugriff verweigern
Weitere Informationen: Intego, Securemac
|
|
|
|
|
|
| OSX.Lamzev.A |
|
Typ: Trojaner
System: Mac OS X
Alias:
OSX.TrojanKit.Malez (Intego)
Troj/RKOSX-A (Sophos) |
|
Zuerst gemeldet von: Intego am 18.08.2008
Beschreibung:
OSX.Lamzev.A erfordert, dass der User ein selbst heruntergeladenes Programm startet und aktiviert. Sollte die Software installiert worden sein, muss der Rechnernutzer selbst noch einen Port über 1024 freigeben, der dann dem Schadprogramm den Zugang für den Rechner beschert.
Gefährung: sehr gering
Weitere Informationen: Symantec,
Spyware.com |
|
|
|
|
|
| OSX.Leap.A |
|
Typ: Wurm
(Proof of Concept)
System: Mac OS X
Alias:
CME-4, OSX/Leap.A [Computer Associates]
Leap.A [F-Secure]
IM-Worm.OSX.Leap.a [Kaspersky Lab]
OSX/Leap [McAfee]
OSX/Leap-A [Sophos]
OSX_LEAP.A [Trend Micro]
Oompa-Loompa |
|
Die Mac-Community war überrascht, als am 13. Februar 2006 der erste Wurm für MacOS X auftauchte. Er erhielt den Namen OSX/Leap.A. Leap ist ein Instant-Messaging-Wurm (IM-Wurm), der in der Lage ist, auch MacOS X-Applikationen zu infizieren. Ein Softwarefehler im Virus-Code führt jedoch dazu, dass die Programme nach der Infektion nicht mehr funktionieren.
Der Wurm wurde zuerst in den MacRumors verbreitet - und zwar am Abend des 13. Februar. Die Originalnachricht lautete "angebliche Screenshots von OS 10.5 Leopard". Ein offensichtlicher Versuch, mittels Social Engineering-Methoden arglose Nutzer zu veranlassen, den schädlichen Code auszuführen.
Zur Verbreitung benutzt der Wurm die Apple-IM-Anwendung "iChat". Weitere Möglichkeiten, in ein System einzudringen, sind beispielsweise der Download sowie die direkte Ausführung des Wurm-Codes durch den Nutzer oder die Anwendung einer infizierten Applikation von einem anderen Standort (Remote Location) aus. Da der Wurm nicht in der Lage ist, ein System automatisch zu infizieren, wird er auch als Trojaner bezeichnet, obwohl dies nicht ganz korrekt ist - denn im Unterschied zu Leap.A kann sich ein Trojaner nicht reproduzieren. Der Wurm verbreitet sich als TAR.GZ-Archiv mit der Bezeichnung "latestpics.tgz". Entpackt der Nutzer das Archiv (entweder über die Eingabe "tar" in der Befehlszeile oder durch Doppelklick im Finder), so erhält er scheinbar eine JPEG-Datei namens "latestpics". Tatsächlich jedoch handelt es sich um ein PowerPC-Executable, wie der "Get Info"-Dialog zeigt.
Das "latestpics"-Executable ist eine Anwendung, die über die Befehlszeile ausgeführt wird. Dabei öffnet sie ein Terminal-Fenster.
In einigen Meldungen war die Rede davon, dass das Betriebssystem an diesem Punkt von einem gewöhnlichen Nutzer administrative Rechte verlangt. Tests bei Kaspersky Lab belegen jedoch, dass dies nicht der Fall ist – die Ausführung des Wurms verlief auch ohne administrative Rechte in derselben Weise. Er infiziert jedoch lediglich Anwendungen, für die der aktuelle User eine Schreibberechtigung hat.
Als nächstes extrahiert der Wurm aus seinem Programmcode ein InputManager-PlugIn mit dem Namen "apphook". Ist der aktuelle Benutzer ein Administrator, so wird dieses PlugIn in den Ordner "Library/InputManagers" kopiert. Ist er kein Administrator, kopiert der Wurm das PlugIn in den Ordner "~/Library/InputManagers" des Benutzers. Der Unterschied besteht darin, dass die InputManager-PlugIns aus dem Root-Ordner "/Library" in Applikationen geladen werden, die von allen Usern benutzt werden, während sie im zweiten Fall lediglich in Anwendungen des aktuellen Benutzers geladen werden.
OSX.Leap.A und OSX/Inqtana.A werden z.B. von Intego als Virus bzw. Wurm bezeichnet. Apple spricht dagegen nicht von einem Wurm, sondern von "schädlicher Software", die voraussetzt, "dass der Anwender die Applikation downloaded und die resultierende Datei ausführt."
Von diesen Würmern für Mac OS X ging keine echte Bedrohung aus, da sie sich weder erfolgreich selbst verbreiteten noch Schaden anrichten. Ausserdem hat sich dieser Wurm am 24.02.2006 selbst deaktiviert. |
|
|
|
|
|
| OSX.Macarena |
|
Typ: Virus
(Proof of Concept)
System: Mac OS X |
|
Von Symantec am 2.11.2006 gemeldeter "Virus" - geringes Infektionsrisiko, geringe Verbreitung, nie in freier Wildbahn gesichtet. "Appends itself to files in the current directory on the compromised computer." |
|
|
|
|
|
| OSX/MacDefender |
|
Typ: Scareware, Java-Exploit
Alias: Mac Defender, MACDefender, Mac Protector, Mac Security, OSX/FakeAV-DMP, OSX/FakeAVZp-B, OSX/MacDefender.A, OSX/MacDefender.B, OSX/MacDefender.C, MacGuard, OSX/FakeMacDef.A |
|
Zuerst gemeldet von: Intego am 2.5.2011
Beschreibung:
Mac Defender wird per Javascript durch manipulierte Webseiten installiert. Das Script lädt von der WebSite automatisch eine .ZIP-Datei. Da Apple in Safari das Entpacken und Öffnen vermeintlich sicherer Dateien standardmäßig aktiviert hat, startet der der in der ZIP-Datei enthaltene Installer bei den meisten Mac-Anwendern automatisch. Die Malware zeigt sich als "Mac Defender Installer" und fordert im Verlauf der Installation zur Eingabe eines Administrator-Kennwortes auf.
Nach erfolgter Installation zeigt sich "Mac Defender" als Objekt in der Menüleiste und startet das "Control Center", das den Status "Unregistered" anzeigt. Die kostenpflichtige Registrierung und Aktivierung erfordert die Eingabe von Kreditkartendaten, welche vermutlich zum Mißbrauch weitergegeben werden.
Benutzer berichten, dass sich Mac Defender in manipulierten Bild-Dateien versteckt (z.B. Bild "Dans Philippenes_6", das bei der Google-Suche nach "Tambourine dance" angezeigt wurde).
Die Malware Mac Defender ist professionell gestaltet und fällt nicht durch Schreibfehler in der Benutzeroberfläche auf. Sie zeigt gelegentliche Hinweise auf angeblich gefundene Viren an und öffnet außerdem in regelmäßigem Abstand Pornografie-Seiten, um dem betroffenen Benutzer den Befall durch Schadprogramme glaubhafter zu machen.
Die Software "Mac Defender" tritt mittlerweile mit verschiedenen Namen auf - u.a. "Mac Protector", "Mac Security" und "MacGuard". Diese Varianten werden mit OSX/MacDefender.A bis .C bezeichnet.
Vorsichtsmaßnahmen:
1. Deaktivieren der Safari-Einstellung "Sichere" Dateien nach dem Laden öffnen
2. Nicht als Benutzer mit Administrator-Rechten arbeiten
3. Java-Script in Safari deaktivieren
Entfernung der Malware:
1. Das laufende Programm "Mac Defender" mit Dienstprogramme/Aktivitätsanzeige aufspüren und beenden
2. Das Programm /Applications/Mac Defender.app in den Papierkorb schieben
3. In den Systemeinstellungen -> Benutzer -> Anmeldeobjekte den Eintrag "Mac Defender" entfernen
4. Die Ordner /Library/StartupItems und ~/Library/LaunchAgents sowie ~/Library/Login Items nach entsprechenden Dateien durchsuchen und diese ggf. entfernen
5. per Spotlight nach "Mac Defender" suchen, um ggf. weitere installierte Dateien aufzuspüren und zu entfernen
Weiterführende Links:
Intego Blog
Apple Discussions (1)
Apple Discussions (2)
|
|
|
|
|
|
| OSX/MacSweep |
|
Typ: Scareware
Alias: Troj/MacSwp-A, OSX_MACSWEEP, MacSweeper
verwandt mit: OS X/iMunizator
|
|
Zuerst gemeldet von: F-Secure am 15.01.2008
Beschreibung:
Wird allgemein als erstes Exemplar von OS X Scareware (bzw. gefälschtem Sicherheitsprogramm) angesehen. Veröffentlicht von "KiVVi Software", die sich dadurch mit Ruhm bekleckerte, dass sie den größten Teil ihrer Unternehmensbeschreibung von Symantecs WebSite kopierten und lediglich den Firmennamen änderten.
Das Programm und sein Startbildschirm scheinen größteneils identisch zu sein mit "OS X/iMunizator". Beide "Produkte" zeigen die Botschaft "Get rid of compromising files now” und beschreiben sich als “3-in-1 Internet cleaner, System cleaner, and Performance optimizer for your MAC”. Nach der Installation markiert das Programm eine Reihe von völlig normalen Dateien als Sicherheitsrisiko, Malware oder bösartige Cookies. Bei jedem Versuch, diese Dateien zu entfernen wird darauf hingewiesen, dass die Software MacSweep käuflich erworben werden müsse.
Weitere Informationen:
F-Secure
Intego
Sophos
Wikipedia |
|
|
|
|
|
| OSX/MusMinim-A |
|
Typ: Trojaner
Alias: Black Hole RAT
BlackHole RAT |
|
Zuerst gemedet von: Sophos am 25.2.2011
Beschreibung:
OSX/MusMinim-A ist ein Remote Access Tool (RAT), das sowohl Windows als auch Mac angreift. Es ist ein Abkömmling des Windows-Schädlings "darkComet". Dass OSX/MusMinim-A von seinem Autor als Beta-Version bezeichnet wurde, könnte darauf hinweisen, dass es aals Proof-of-concept konzipiert wurde; allerdings weist es bereits eine interessante Vielzahl von Funktionen auf. Da das Interface von OSX/MusMinim-A einige deutsche Begriffe (und eher schlechtes Englisch) enthält, gehen einige Analysten davon aus, dass es aus deutschen Feder stammt.
Das Schadprogramm fordert u.a. mit einem gefälschten Finder Fenster ("Finder requires you Administrator Password.") zur Eingabe des Admin-Passworts auf, zeigt mehrer Fenster des Programms "BlackHole RAT >>> Client" und zeigt ein FullScreen-Fenster mit dem Button "restart" und folgendem Text an:
I am a Trojan Horse, so i have infected your Mac Computer. I know, most people think Macs can't be infected, but look, you ARE Infected!
I have full controll over your Computer and i can do everything I want, and you can do nothing to prevent it.
So, Im a very new Virus, under Development, so there will be much more functions when im finished.
Weitere Informationen:
Sophos
naked security
iThreats
Mac Virus |
|
|
|
|
|
| OSX/OpinionSpy |
|
Typ: Spyware
|
|
Zuerst gemeldet von: Intego am 01.06.2010
Beschreibung:
Installiert sich mit der Software namens "PermissionResearch" oder "PremierOpinion". Laut Intego wird diese Spyware von einigen frei verfügbaren Bildschrimschonern installiert und tanrnt sich als Marktanalyse-Programm. Die Spyware wurde angeblich auch mit mindestens einer Version von frei verfügbarer Software via MacUpdate, VersionTracker and Softpedia verbreitet. Intego veröffentlichtre ursprünglich die Namen einiger Bildschirmschoner und eines Programms, die diese Spyware installierte, doch die Namen wurden von Intego offensichtlich später wieder entfernt.
Weitere Informationen:
Intego
ESET blog |
|
|
|
|
|
| OSX/Revir.A |
|
Typ: Trojaner
System: Mac OS X
Alias:
Text
Varianten:
Text
|
|
http://www.apfeltalk.de/forum/content/2562-neuer-noch-harmloser.html
http://www.maclife.de/mac/software/betriebssystem/osx/revira-apple-reagiert-auf-neuen-mac-trojaner
http://www.macnotes.de/2011/09/27/osxrevir-a-apple-bringt-update-fur-anti-malware-tools/ |
|
|
|
|
|
| OSX.RSPlug.A |
|
Typ: Trojaner
System: Mac OS X
Alias:
DNSChanger
OSX/RSPlug-A [Sophos]
OSX/Puper [McAfee]
Porn4Mac
Zlob
RSPlug.A (Intego)
MAC.OSX.Trojan.DNSChanger.A
OSX/DNSCha-E (Sophos)
|
|
Zuerst gemeldet von: Intego am 30.10.2007
Beschreibung:
Dieser Schädling tauchte zunächst auf Porno-Seiten auf und gaukelte einen "fehlenden Video-Codec" vor, der vorgeblich benötigt wird, um ein Video anzuzeigen:
Quicktime Player is unable to play movie file.
Please click here to download new version of codec.
Der enthaltene Downloadlink lädt ein gewöhnliches DMG ("Ultracodec4313.dmg") auf die eigene Festplatte. Ist das automatische Öffnen "sicherer" Dateien in Safari aktiviert, wird das Disk Image geöffnet, das enthaltene install.pkg im Installer (von Mac OS X) geöffnet und zur Eingabe des Passworts aufgefordert. Dies passiert natürlich auch nach manuellem Öffnen des DMGs und Doppelklick auf install.pkg. Der Trojaner biegt die DNS-Einstellungen des Mac auf eine beliebige andere Website um: wer z.B. www.paypal.de eintippt, kann auf eine Paypal-Doppelgängerseite umgeleitet werden, die ihn um seine geheimen Kontodaten erleichtert. Dies geschieht durch einen ein automatischen cron-Job, der die falsche DNS-Einstellung restauriert, falls sie geändert werden sollte. Die Änderung der DNS kann nicht ohne weiteres festgestellt werden, so dass der Trojaner sein Werk ungestört fortsetzen kann.
Diagnose:
Wenn das Verzeichnis /Library/Internet Plug-Ins (im Top Level des OSX, nicht im Library-Verzeichnis im User-Directory) eine Datei namens plugins.settings enthält, weist das auf eine Infektion hin. Da dieser Name in Zukunft abweichen kann, sollte man die Existenz des entsprechenden cron-Jobs prüfen: Die Eingabe von sudo crontab -l im Terminal (erfordert Admin-Passwort) listet alle cron-Jobs auf. Wenn sich darunter * * * * * “/Library/Internet Plug-Ins/plugins.settings">/dev/null 2>&1 befindet, dann ist der Schädling vorhanden.
Entfernung:
- Löschen der Datei plugins.settings im Verzeichnis /Library/Internet Plug-Ins und Leeren des Papierkorbs.
- Eingabe von sudo crontab -l ins Terminal. Die Abfrage sollte mit crontab: no crontab for root bestätigen, dass der cron-Job gelöscht wurde.
- Öffnen von Systemeinstellungen/Netzwerk/DNS. Dort muss die vorhandene Angabe des DNS gelöscht und neu eingetragen werden.
- Reboot des Macs
Alternativ: DNSChanger Removal Tool
Weitere Informationen:
www.mac-essentials.de
Intego
Macworld
Zlob Watch
F-Secure |
|
|
|
|
|
| OSX.RSPlug.D |
|
Typ: Trojaner
System: Mac OS X
Alias:
DNSChanger
RSPlug.D (Intego) |
|
Zuerst gemeldet von: Intego am 18.11.2008
Beschreibung:
OSX.RSPlug.D ist eine Variante des OSX.RSPlug.A. Im Unterschied zu Version .A fordert der Dialog zur Installation eines "fehlenden Video ActiveX Objects" auf:
Video AciveX Object Error.
Your Browser cannot play this viedeo file.
Click "OK" to download and install missing Video
ActiveX Object.
(Annuler) (OK)
Beim Klick auf "OK" wird das infizierte Disk-Image geladen.
Beim Klick auf "Annuler" folgt ein weiteres Dialogfenster:
Please install new version of Video ActiveX Object.
(OK)
Der Klick auf "OK" führt wiederum zurück zum ersten Dialogfenster.
Bewertung:
Wie schon bei OSX.RSPlug.A ist einige "Mithilfe" des Benutzers notwendig, um diesen Trojaner zu installieren:
- Besuch von Porno-Seiten und Laden von Porno-Movies
- Vertrauen in die Meldung zur Installation eines "fehlenden Video ActiveX Objects"
- Download des infizierten Disk-Images
- Installation des Disk-Images mit Eingabe eines Administrator-Passworts
Intego stuft die Gefährung als "medium" ein. Man könnte auch sagen: Wer sich dieses Ding einfängt, ist selbst schuld.
Weitere Informationen: Intego |
|
|
|
|
|
| OSX/RSPlug.F |
|
Typ: Trojaner
System: Mac OS X
Alias: DNSChanger 2.0d, DNSChanger 2.0e (SecureMac)
RSPlug.G (Intego) |
|
Zuerst gemeldet von: Sophos am 17.03.2009
Variante von OSX/RSPlug-A und -D. Ändert wie seine Verwandten die DNS-Einstellungen des Computers, um vermutlich Anfragen ins WWW auf andere Seiten umzuleiten.
Im Unterschied zu den beiden vorigen Varianten erfolgt die Installation über ein HDTV/DTV Program namens "MacCinema" oder in der Installations-Datei "serial_Avid.Xpress.Pro.5.7.2.dmg" . Natürlich erfordert die Installation auch dieses Programms die Eingabe eines Admin-Passworts.
Abhilfe:
- Meiden Sie unseriöse WebSites, insbesondere Ponografie-Angebote
- Prüfen Sie genau, was Sie per Download installieren! Mac OS X fragt nicht ohne Grund nach dem Admin-Passwort zur Installation. Laden Sie Software nur von vertrauenswürdigen und bekannten Quellen
- Falls Sie ein Programm installieren möchten, dass Sie nicht kennen, sollten Sie im Internet suchen, ob Sie von anderen Benutzern Erfahrungsberichte über das Verhalten des Programmes finden können
- Benutzen Sie ein Anti-Virus-Programm
- Benutzen Sie die in Mac OS X eingebaute Firewall oder andere Sicherheitsprodukte
- Werfen Sie LimeWire in den Müll. Jetzt gleich. LimeWire (und andere Peer-to-Peer Sharing-Programme) sind eine wahre Fundgrube für Schadprogramme, die nur darauf warten, Ihren Mac zu infizieren und von ahnungslosen Benutzern weiterverbreitet zu werden.
Weitere Informationen: Sophos |
|
|
|
|
|
| OSX/Tored-A |
|
Typ: Trojaner
System: Mac OS X
Alias: OSX.Worm.Tored.A |
|
Zuerst gemeldet von: Intego am 29.04.2009
Beschreibung:
Intego berichtete von einem neuen Wurm namens OSX/Tored-A, der sich über die E-Mail-Adressen des Adressbuches verbreiten soll. Der Trojaner scheitert aber an einem enthaltenen Fehler im RealBasic-Code. Das Ziel des Schädlings sei der Aufbau eines Mac-Botnetzes.
Die Schadsoftware versucht, sich in den Ordner "System" und System/Library/StartupItems zu installieren und hinterlässt sich dort eine Datei namens “applesystem” oder “systemupdate”.
Der Trojaner versucht sich über einen nicht existenten SMTP-Server zu versenden. Zudem hat er sogar eine Nachricht parat, falls er einmal versehentlich auf einem Windows-Rechner landen sollte:
For Mac OS X ! :(If you are not on Mac please transfer this mail to a Mac and sorry for our fault :)
Sophos urteilt deshalb auch, dass eine Verbreitung dieses Trojaners sehr unwahrscheinlich sei und stuft die Gefährung als sehr gering ein. Intego dagegen stuft diesen miesen Versuch eines Trojaners als "novel approach to malware" ein und wirbt sogleich damit, dass es in seinem aktuellen Produkt für Mac eine "neue Malware-Klasse" eingebaut habe.
Gefährung: sehr gering
Weitere Informationen: Intego
|
|
|
|
|
|
| OSX.Trojan.iServices.A |
|
Typ: Trojaner
System: Mac OS X
Alias:
iWorkServices
MAC.OSX.Trojan.Krowi.A (bitdefender)
Backdoor.OSX.iWorm.a, Mac.Iservice, OSX.Iservice, Backdoor:MACOS_X/Iservice, OSX_KROWI.A
Variante:
OSX.Trojan.iServices.B |
|
Zuerst gemeldet von: Intego am 21.01.2009
Der Trojaner namens OSX.Trojan.iServices.A versteckt sich in einer Raubkopie von iWork 09. Betroffen sind nur Anwender, die versuchen, sich das Programmpaket auf illegalem Weg aus Tauschbörsen wie dem Bittorrent-Netz zu besorgen.
Dem Sicherheitssoftware-Hersteller Intego zufolge sei die Schadsoftware in der Lage, weitere Softwaremodule aus dem Web nachzuladen, könnte also an verschiedene Aufgaben angepasst werden. Da das Programm sich als Startobjekt in /System/Library/StartupItems/iWorkService einnistet und sich Administratorrechte verschafft, wäre es möglich, dass der Autor sich ein Mac-basiertes Botnet aufbauen will, das beispielsweise für den Versand von Spam-Mails oder für gezielte Angriffe auf Server genutzt werden kann.
Laut Intego seien bereits bis zu 20.000 Anwender betroffen, denn die infizierte Version des iWork 09-Installationspaket sei bereits ebenso häufig aus Quellen wie Bittorrent heruntergeladen worden. Intego warnt ausdrücklich davor, sich die Software aus illegalen Quellen zu besorgen.
Betroffene, die das Paket bereits installiert haben, sollen den Trojaner mithilfe des Terminalprogramms von Mac OS X selbst entfernen können, heißt es in Internetforen. Dazu sind allerdings gute Kenntnisse von Mac OS X nötig.
Das iWorkServices Trojan Removal Tool von SecureMac entfernt den Trojaner angeblich sicher und dauerhaft.
Gefährung: sehr gering
Weitere Informationen: Intego |
|
|
|
|
|
| OSX.Trojan.iServices.B |
|
Typ: Trojaner
System: Mac OS X
Alias: iWorkServices
MAC.OSX.Trojan.Krowi.B
Variante:
OSX.Trojan.iServices.A |
|
Eine Variante von OSX.Trojan.iServices.A, jedoch in einer Raubkopie von Adobe Photoshop CS4 versteckt. |
|
|
|
|
|
| OSX.Tsunami.A |
|
Typ: Trojaner
System: Mac OS X
Alias:
Text
Varianten:
Text
|
|
http://blog.botfrei.de/2011/11/linux-tsunami-trojaner-portiert-auf-mac-osx/
http://www.macwelt.de/artikel/_News/378973/sophos_warnt_vor_mac_trojaner_tsunami/1 |
|
|
|
|
|
| Scores |
|
Typ: Trojaner
System: Mac OS 6-9
Alias:
ERIC
Vult
San Jose
San Jose Flu
NASA |
|
Das Virus "Scores" ist auch unter anderen Bezeichnungen ("Eric", "Vult", "NASA" und "San Jose Flu") bekannt. Es wurde im Jahre 1988 in den USA entdeckt. "Scores" wurde von seinem Urheber höchstwahrscheinlich dazu programmiert, um das Verhalten von Computerviren zu untersuchen. Allerdings verbreitete sich das Virus sehr schnell. Das Virus erzeugt zwei unsichtbare Dateien mit den Namen "Scores" und "Desktop_", infiziert die Systemdatei und beschädigt die Notizblock- und die Albumdatei, indem es deren Symbolzuordnung verändert. Anschließend infiziert das Virus gerade laufende Anwendungsprogramme. Allerdings kann es nicht jedes Anwendungsprogramm infizieren. Das Virus Scores kann willkürlich auftretende Systemabstürze und Druckprobleme verursachen. |
|
|
|
|
|
| SevenDust |
|
Typ: Virus
System: Mac OS 6-9
Alias:
Graphics Accelerator
MDEF 9806
MDEF 666
MDEF 999
SevenDust Trojan
MacOS.Sevendust
Varianten:
SevenDust A/B
SevenDust C
SevenDust D
SevenDust E/F/G
SevenDust J
SevenD-C |
|
Das Virus SevenDust existiert in mehreren Varianten von A bis G. Dieses Virus ist auch unter den Bezeichnungen MDEF 9806 und MDEF 666 bekannt. Diese Viren verbreiten sich über MDEF-, MENU- oder WIND-Ressourcen und eine Systemerweiterung. SevenDust E, eine auch als "Graphics Accelerator" bekannte Variante, wurde im Jahre 1998 in einem Trojanischen Pferd entdeckt.
Diese Viren können Anwendungsprogramme, die Systemdatei und Kontrollfelder infizieren. Sie versuchen, alle Dateien auf dem Systemdatenträger zu löschen, bei denen es sich nicht um Anwendungsprogramme handelt. Dies findet nur am 6. und 12. jedes Monats zwischen 06:00 und 07:00 Uhr statt.
Die Variante "SevenDust F" wurde über ein Trojanisches Pferd namens "ExtensionConflict" verbreitet. Von dieser Varianten gibt es fünf weitere Subvarianten, die sich nur über andere Systemerweiterungen reproduzieren. |
|
|
|
|
|
| SH.Renepo |
|
Typ: Trojaner
System: Unix
Alias:
opener.sh
SH.Renepo.B
SH/Renepo-A
SH/Renepo.A
Worm.MacOS.Opener |
|
The risk assessment of this threat has been deemed Low-Profiled due to the following media attention:
http://www.arnnet.com.au/index.php/id;1771656169;fp;2;fpid;1
The worm is referred to as Renepo within the article.
--
Detection was added to cover for a malicious file originally called "opener.sh ", having a filesize of 46007 bytes.
The file is a Unix type shell script. In this case the script is specifically targeted against Macintosh systems running the OS X operating system. The latest OS X operating system has Unix type Shell Scripting support. Previous Macintosh versions, such as v9, have a different internal file/script structure and are not initially vulnerable to this worm.
The opener.sh shell script consists of many subroutines, each having malicious intent, but the main purpose is to disable the system firewall, collect user information and try to spread via shares.
This threat does not make use of an exploit, so to have the script run successfully on a system and make changes, the user account from which the script is run must have sufficient rights. If no superuser/root/admin access is available many of the subroutines will fail and generate errors.
When executed, the script tries to move itself to the /System/Library/StartupItems directory.
The various subroutines try to carry out the following tasks:
•Install ohphoneX
•Disable the OS X built in firewall
•Disable software updating so have future fixes are not automatically downloaded/installed on the system.
•Stop the LittleSnitch Startupitem
•Start "krec" if that's installed. Krec is a keyboard reader and the purpose of starting it is to capture user information.
•Make changes so everybody can write to the hostconfig, ssh and cron files.
•Turn on FileSharing
•Turn on remote login
•Gather system information like hashes and preferences and also creates a hidden folder called .info.
•Record the computer name and IP addresses
•Retrieve the network port configurations
•Retrieve the stored open-firmware password
•Retrieve the passwd file
•Delete log files to conceal the compromise
•Create an admin user called LDAP-daemon with password 1234
•Have the daily cron script try to grep the password
•Download / install other programs such as dsniff to start sniffing for passwords
Method of Infection
Infection starts with the execution of the opener.sh file via manual execution, pretending to be something else, or automatically by sharehopping. Properly configured OS X systems, with no filesharing enabled and not running root/superuser/admin rights should not be vulnerable. |
|
|
|
|
|
Steroid
|
|
Typ: Virus
System: Mac OS 6-9
Alias:
Steroid Trojan
Varianten:
Steroid A
Steroid B |
|
Trigger date of July 1, 1990
•INIT which claims to speed up QuickDraw on 9-inch screens
•Shipped with a file name (Steroid) preceded by 2 invisible characters (so it loads before SAM Intercept and other extensions)
•Zeros your volume directories
•If file renamed, so that it runs after SAM, in advanced or custom modes you
will get SAM alerts saying "There is an attempt to bypass the file system"
when the Trojan attacks your volumes. Denying these attempts prevents the
Trojan from doing damage.
•NOTE: Having CommToolbox installed seems to interfere with the INIT and
keeps the erase from happening. |
|
|
|
|
|
T4
|
|
Typ: Virus
System: Mac OS 6-9
Varianten:
T4-A
T4-B
T4-C
T4-D |
|
Das Virus T4 wurde im Jahre 1992 entdeckt. Es wurde as Variante T4-A und T4-B über das Spiel "GoMoku" in den Versionen 2.0 und 2.1 verbreitet, die auf mehrere FTP-Server hochgeladen worden waren. Dieses Virus infiziert Anwendungsprogramme und den Finder, und versucht, die Systemdatei zu verändern. Das Virus maskiert sich auch als das kostenlose Antivirusprogramm "Disinfectant", um andere Antivirusprogramme zu überlisten.
Das Virus T4 kann die Systemdatei irreparabel beschädigen und willkürlich auftretende Systemabstürze verursachen. In manchen Fällen kann ein mit diesem Virus infizierter Macintosh nicht mehr gestartet werden.
Im Jahre 1997 wurde eine andere Variante mit der Bezeichnung T4-D gefunden. Diese Variante löscht Dateien im Systemordner, aber nicht die Systemdatei. Diese Variante verbreitet sich von einem Anwendungsprogramm zum anderen, indem sich das Virus selbst in die CODE-Ressource des jeweiligen Anwendungsprogramms einbettet. |
|
|
|
|
|
WDEF
|
|
Typ: Virus
System: Mac OS 6-9
Varianten:
WDEF A
WDEF B |
|
Das Virus WDEF wurde im Jahre 1989 in Belgien entdeckt. Seinen Namen hat es von der WDEF-Ressource in den Schreibtischdateien. Die beiden Varianten WDEF A und WDEF B, die sich durch Infizieren der Schreibtischdateien (diese werden beim Anmelden jedes Datenträgers beim Betriebssystem gelesen) reproduzieren, verbreiten sich ziemlich schnell. Hierzu ist es nicht einmal nötig, ein Anwendungsprogramm zu starten.
Das Virus WDEF richtet keinen eigentlichen Schaden an, doch wurde es fehlerhaft programmiert, sodass es Systemabstürze und fehlerhafte Darstellung von Schriften verursachen kann |
|
|
|
|
|
ZUC
|
|
Typ: Virus
System: Mac OS 6-9
Varianten:
ZUC A
ZUC B
ZUC C |
|
Das Virus ZUC wurde zuerst im Jahre 1990 entdeckt. Seinen Namen erhielt es von seinem Entdecker, Don Ernesto Zucchini. Von diesem Virus existieren drei Varianten: ZUC A, ZUC B und ZUC C. Sie infizieren ausschließlich Anwendungsprogramme und können sich sogar vervielfältigen, wenn keine Anwendungsprogramme laufen. Diese Varianten verursachen lediglich eine fehlerhafte Darstellung des Mauszeigers. Andere Schäden sind nicht bekannt. |
|
|
|
|
|
Links:
CERT Software Engineering Institute, Carnegie Mellon University
Computer Associates
F-Secure
Intego
Kaspersky Lab
Mac Virus - The Offical Mac Virus Blog Site
McAfee
Panda Software
SecureMac
Sophos
Symantec
Trend Micro
trojaner-info.de
|
|