OSX/Flashback.I erkennen und entfernen

OSX/Flashback.I erkennen und entfernen

Doctor Web will entdeckt haben, dass der Mac-Trojaner OSX/Flashback.I (alias BackDoor.Flashback.39) auf über 550.000 Macs verbreitet sei. So können Sie erkennen, ob Ihr Mac zu den, nach Angaben von Doctor Web, 0,4% der Macs in Deutschland gehört, die infiziert sein könnten:

Auf Infektion durch OSX/Flashback.I prüfen
Öffnen Sie das Dienstprogramm „Terminal“ und kopieren Sie jede der folgenden Zeilen einzeln in das Programmfenster. Drücken Sie jeweils anschließend die Return- oder Eingabe-Taste:

defaults read /Applications/Safari.app/Contents/Info LSEnvironment
defaults read /Applications/Firefox.app/Contents/Info LSEnvironment
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

Wenn Ihr Mac NICHT infiziert ist, dann erscheint nach jedem dieser Befehle die Ausgabe “The domain/default pair of (…) does not exist”.

Die drei oben genannten Terminal-Befehle prüfen System-Variablen, die durch den Trojaner OSX/Flashback.I verändert werden. Wenn Terminal andere Werte anzeigt, dann könnte Ihr Mac zu den wenigen gehören, die durch den Trojaner infiziert sind.

OSX/Flashback.I entfernen
Diese  längere Prozedur beschreibt F-Secure hier ausführlich.

Hintergrund
Der Trojaner installiert sich durch ein Java-Expploit, das Apple am 3.4.2012 und 5.4.2012 durch die Java-Updates „Java für Mac OS X 2012-01“ und „Java für Mac OS X Lion 2012-02“ gestopft hat. Der Trojaner prüft bei der Installation, ob eines der folgenden Programme installiert ist:

  • /Library/Little Snitch
  • /Developer/Applications/Xcode.app/Contents/MacOS/Xcode
  • /Applications/VirusBarrier X6.app
  • /Applications/iAntiVirus/iAntiVirus.app
  • /Applications/avast!.app
  • /Applications/ClamXav.app
  • /Applications/HTTPScoop.app
  • /Applications/Packet Peeper.app

Falls eines dieser Programme vorhanden ist, bricht die Installation des Trojaners ab.

[Update 12.4.2012]: Wie in den Kommentaren zu diesem Artikel zu lesen, gab es einen dokumentierten „Befall“ durch OSX/Flashback.I trotz aktivem „Little Snitch“-Programm. Daher scheint es in manchen Fällen, anders als oben beschrieben, nicht auszureichen die jeweilige Software installiert zu haben um einen Befall zu verhindern.

Unser Tip: Testen Sie einfach Ihren Mac, wie oben beschrieben, unabhängig davon ob Sie eines der oben aufgeführten Programme installiert haben.

Anmerkung …
Wir waren bisher der Meinung dass Anti-Viren-Software auf dem Mac mehr Schaden als Nutzen anrichtet. Aber die aktuellen Einschläge kommen näher, so dass es eventuell nicht mehr ausreicht, Mac OS X nur mit den aktuellen Sicherheitsupdates zu pflegen, sondern künftig auch die Installation eines Malware-Schutzes (wie z.B. ClamXav) zur grundlegenden Ausstattung gehört. Das wird mit Sicherheit so sein, wenn Apple seine Sicherheitslücken weiterhin so zögerlich stopft. Felix von Leitner, Sprecher des Chaos Computer Club, hat das im vergangenen Herbst in einem Interview mit den Kollegen von Mac & i gut und treffend dargestellt.

… und Bitte:
Falls Sie tatsächlich eine Infektion mit dem Mac-Trojaner OSX/Flashback.I alias BackDoor.Flashback.39 feststellen, würden wir uns über eine kurze Nachricht freuen. Der Beleg von Doctor Webs Meldung über angebliche 2.400 infizierte Macs in Deutschland steht noch aus.

[ Update 11.4.2012 I ]
Apple is developing software that will detect and remove the Flashback malware.
Apple informiert im o.g. Knowledge Base-Artikel über die beiden Java-Updates der vergangenen Tage und erwähnt, dass Apple Software entwickelt, die den Trojaner erkennt und entfernt. Die offizielle Empfehlung für Macs mit dem Betriebsystem OS X 10.5 oder älter lautet: Java in den Browser-Einstellungen deaktivieren.

[ Update 11.4.2012 II ]
Securelist (Kapersky) berichtet, dass die Zahl der befallenen Mac-Systeme von 650.748 am 6.4.2012 auf 237.103 am 8.4.2012 gefallen sei.

[ Update 13.4.2012 ]
Für die Nutzer von Mac OS X 10.6 Snow Leopard und  10.7 Lion hat Apple das weitere Java-Update 2012-003 veröffentlicht. Die neue Version kann wie üblich über die Software-Aktualisierung geladen werden.
Aus der Beschreibung des Updates: „Mit diesem Java-Sicherheitsupdate werden die häufigsten Varianten der Flashback-Malware entfernt. Außerdem konfiguriert dieses Update das Java-Web-Plug-In so, dass das automatische Ausführen von Java-Applets deaktiviert wird. Dieses kann über die Java-Einstellungen erneut aktiviert werden. Werden über einen längeren Zeitraum keine Applets ausgeführt, dann werden diese vom Java-Web-Plug-In erneut deaktiviert.“

[ Update 14.4.2012 ]
Auf das gestrige Sicherheitsupdate Java für OS X 2012-003 folgte einige Stunden später ein neues Tool zur Entfernung von Schadsoftware. Das “Flashback Malware Removal Tool” ist für OS-X-Systeme gedacht, auf denen sich keine Java-Installation befindet und kann über Apples Support-Seite geladen werden: “Mit diesem Update werden die am häufigsten vorkommenden Varianten der Flashback-Malware entfernt. Dieses Update beinhaltet das gleiche Werkzeug zum Entfernen von Malware wie Java für OS X 2012-003. Dieses Update wird allen Mac-Benutzern empfohlen, die Java nicht installiert haben”

19 Comments
  • 50 "Viren" für Mac OS X | Apfelwerk - Apple Support aus Stuttgart
    Posted at 13:04h, 03 November

    […] Paukenschlag: Flashback. Durch veraltete Java-Version in Mac OS X 10.5 wurden weltweit angeblich 550.000 Macs infiziert. Der Trojaner installierte sich durch ein Java-Exploit, das Apple am 3.4.2012 und 5.4.2012 […]

  • Bester Virenschutz für Mac | Apfelwerk - Apple Support aus Stuttgart
    Posted at 12:25h, 08 Oktober

    […] Mac war in der Lage, die Infektion mit dem einzigen nennenswert verbreiteten Trojaner für Mac (FlashBack im April 2012) zu verhindern. Die Schutzfunktionen in einem aktuellen Mac OS X 10.9 sind mehr wert als alle […]

  • Michi
    Posted at 12:28h, 07 September

    Hallo,
    Habe vor ein paar Tagen eine mail bekommen in der eine ZIP Datei enthalten war. Habe mir nicht viel dabei gedacht da GMX normalerweise Spam mails frühzeitig anfängt. Als ich die datei öffnete sprang sofort Avira an und verschob die datei in Quarantäne. Meine frage ist ob sich der Trojaner jetzt noch auf meinen mac befindet. Hab mehrere programme sowie den terminal Check drüberlaufen lassen. Wurde nichts gefunden
    Lg Michi

    • Thomas Kemmer
      Posted at 16:15h, 07 September

      Es wäre höchst unwahrscheinlich, dass sich doch etwas eingenistet hat. Sicherheit bekommen sie zunächst dadurch, dass Sie in Avira nachschauen, was für eine Malware drin war – und prüfen, ob das einem OS X überhaupt etwas anhaben kann.

  • Thomas Kemmer
    Posted at 19:05h, 11 April

    Hallo HeikO,
    absolut richtig – in der Hitze des Gefechts (beim Kunden) habe ich das nicht registriert. Die Installation von ClamXav sollte den notwendigen Schutz bieten. Wir Apfelwerker testen gerade Intego, Sophos und Avira. Bericht folgt.

  • Thomas Kemmer
    Posted at 11:22h, 11 April

    Hallo HeikO,
    spricht nicht gerade für Little Snitch.

    • HeikO
      Posted at 18:17h, 11 April

      Nun ja, Little Snitch ist ja nicht für eingehende Verbindungen zuständig, sondern für die ausgehenden. Die überprüft er nur, bzw. meldet, wenn ein Programm unerlaubt nach außen gehen will.

      Im Artikel wurde behauptet, dass sich der Virus nicht installiert, wenn er ein Anti-Virus-Programm oder Little Snitch findet. Auch ist Little Snitch kein Anti-Virus-Programm, d.h. es prüft bei ausgehenden Verbindungen nur, ob das sendende Programm autorisiert ist.

      Da stimmt also etwas an der Behauptung nicht.

      Aber Dank Little Snitch bin ich überhaupt erst drauf gekommen, dass dieser Virus im System war. Ein ungeschütztes System wäre vermutlich über Wochen und Monate hinweg infiziert geblieben.

      lg
      Heiko (ACSE)

  • HeikO
    Posted at 10:36h, 11 April

    Meine Frau hatte sich den Virus eingefangen – trotz installiertem LittleSnitch.

  • Thomas Kemmer
    Posted at 11:14h, 10 April

    Hallo Rich,
    ClamX sollte m.E. so eingestellt sein, dass:
    a) die Software automatisch Aktualisierungen holt
    b) die wichtigsten Ordner (z.B. Downloads, Mail, Schreibtisch) überwacht werden
    c) evtl. zusätzlich nach Zeitplan die ganze Platte gescannt wird
    Um noch sicherer zu sein, sollten Wechselmedien wie CD/DVD und USB-Sticks beim Einlegen gescannt werden.

    Gruß – Thomas

  • Rich
    Posted at 09:23h, 10 April

    Hallo Thomas, vielen Dank für die Infos. Frage noch: Sollte man ClamXav laufend aktiviert halten, wenn man die Software installiert hat oder reicht es, ab und an zu scannen?

    Gruss
    Rich

  • Thomas Kemmer
    Posted at 11:18h, 07 April

    Johannes,
    Apple hat durch die Java-Aktualisierung die Sicherheitslücke geschlossen; das Update entfernt NICHT den evtl. vorhandenen Trojaner OSX/Flashback.I – nur das Einfallstor des Trojaners ist nun zu.
    Wenn Du den Trojaner vor dem Java-Update schon hattest, dann wird er nach dem Java-Update i.d.R. immer noch da sein.
    Welche Informationen der Trojaner überträgt, findet sich evtl. auf den o.g. Seiten von F-Secure.

  • Thomas Kemmer
    Posted at 11:01h, 07 April

    Hallo Roberto,
    zunächst mal zu Deinem geknackten Adressbuch: welchen Inhalt hatte die Mail? War das Werbung von GMX?

    Du kannst Dich besser schütze, indem Du nicht nur alle Softwareaktualisierungen von Apple ausführst, sondern auch ein Virenschutzprogramm wie z.B. ClamXav installierst. Die Arbeit wird dadurch nicht komfortabler, aber sicherer.
    Bei Online-Diensten wie Linkedin, FaceBook, Google+ oder auch GMX muss man zweimal hinschauen, bevor man seine Daten preisgibt; die „Einladung aller Freunde“ bedeutet meist nichts anderes, als dem Dienst sein ganzes Adressbuch zu übergeben. Ist mir leider auch schon passiert.

    Weitere Tipps (ohne Anspruch auf Vollständigkeit):
    – nicht ständig als Admin arbeiten
    – geknackte und „kostenlose“ Software nicht installieren
    – keine Software aus Tauschbörsen installieren
    – bei Web-Formularen auf Verschlüsselung (https://) achten
    – im Internet nicht per Kreditkarte zahlen
    – notieren, welcher Web-Dienst welche persönlichen Daten hat
    – bei Web-Diensten evtl. mit „Wegwerf-Mailadressen“ arbeiten
    – bei Phishing-Mails die angegebene WebSite besuchen und frei erfundene Daten angeben, um die Datenbank der Phisher zu versauen ;-)

  • Johannes
    Posted at 10:22h, 07 April

    Hallo Thomas,

    vielen Dank auch von meiner Seite für die Erklärung!
    Kann ich denn auch erkennen dass ich den Trojaner hatte, auch wenn ich die Sicherheitslücke durch das neuste Update von Apple schon geschlossen ist?
    Wenn nein, was muss ich dann tun bzw. woher weiss ich welche meiner Informationen rausgegangen sind?

    Vielen Dank im Voraus und ebenso frohe Ostern!

    Johannes

  • Roberto
    Posted at 09:03h, 07 April

    Hallo Thomas,

    danke für die genaue Beschreibung, ich habe sie auch gleich getestet.
    Zum Glück zeigte er mir nichts an..

    Ich hatte vor ein paar Tagen einen Vorfall bei gmx. Mein Adressbuch wurde „aufgebrochen“ und alle Adressen zu einen Serienbrief verfasst.
    Und unter meiner E Mail Adresse Versand.

    Nun befürchte ich das ich einen Spion auf meinen Mac habe.
    Hast du einen Tipp für mich, wie ich mich schützen kann?
    Danke im Voraus und ein schönes Osterfest.
    Roberto

  • Thomas Kemmer
    Posted at 22:47h, 06 April

    Hallo Thomas,

    zuerst die schlechte Nachricht:
    Auch auf absehbare Zeit wird es keine Apfelwerk-News App geben. News-Dienste rund um Apple gibt es bereits genug; leider vermischen einige davon ihre News mit getarnter Werbung für dieses und jenes Produkt.

    Nun die gute Nachricht:
    Wir verdienen weiterhin unser Geld mit professioneller Beratung und Dienstleistung rund um Apple-Produkte. Unser Blog war bisher ein Nebenprodukt unserer praktischen Arbeit und soll es auch bleiben. Das gibt uns die Freiheit, kritische Beiträge ohne Rücksicht auf evtl. Inserenten veröffentlichen zu können. Das macht Sinn, wir schätzen diese Freiheit sehr.

    Nebenbei:
    Unser bescheidener Blog kann auch als RSS-Feed abonniert werden. Reicht doch auch, oder?

  • Thomas
    Posted at 22:30h, 06 April

    Hallo Liebes Apfelwerk Team,

    ich danke euch für die Simple Anleitung, habe mich glatt von den berichten der letzten Zeit mitreissen lassen und bin leicht in Panik verfallen.
    Dank eurer Terminal befehle, habt ihr mir die Installation einer Antiviren Software erspart.
    Seit nunmehr 5 Jahren bin ich begeisterter Mac Nutzer und das nicht zuletzt, weil ich mir den „Luxus“ erlaube keine AV Software zu benutzen.
    Wie gesagt, super Arbeit die ihr hier leistet, mich würde interessieren ob bzw. wann eine Apfelwerk News App geplant ist?

    Liebe Grüsse Thomas

  • Heiko
    Posted at 21:31h, 06 April

    Hallo,
    super für diese Erklärung. Habe es gleich mal auf meinem iMac getestet.
    Wünsche auf diesem Weg schöne Ostern ;-)
    Gruß
    Heiko

  • Areef
    Posted at 11:36h, 06 April

    Hallo,

    Vielen dank für die tolle Erklärung wie man den Mistkerl erkennt. Ich hab noch eine frage was ist wenn ich eins dieser programme installieren ist das dann ein doppelter schutz wenn ich die Updates schon installiert habe?

    danke nochmal

    Reza

    • Thomas Kemmer
      Posted at 11:57h, 06 April

      Ja – Apples Java-Patches stopfen speziell DIESE Sicherheitslücke. Aber solange sich Trojaner durch das bloße Vorhandensein von Antivirensoftware (möglicherweise unabhängig von deren Aktualität) davon abhalten lassen sich zu installieren, dann ist es nicht falsch, einen Virenschutz installiert zu haben.

      Schöne Feiertage!