Flashback-Trojaner erkennen und entfernen

[MacFlieger]

Über den Flashback-Trojaner wird viel geschrieben und er scheint sich auch gut ausgebreitet zu haben.

Der Flashback-Trojaner gibt sich zunächst immer als Flash-Update aus, was der Benutzer installieren soll. Wenn der Benutzer es macht, ist die Malware auf dem Rechner. Die Infektion lief immer so ab: Eine Website präsentierte eine Mitteilung, die exakt wie die von Adobe aussieht, dass ein Update für Flash vorliegt und man dieses installieren soll. Daraufhin starteten die Nutzer dieses vorgebliche Flash-Update, gaben Admin-Kennwort ein und fertig.  Dagegen hilft gar nichts außer, man lässt nur noch signierte Software zu (wie mit Gatekeeper für 10.8 geplant).

Allerdings ist damit die Geschichte noch nicht durch.
Wenn man das Update ablehnt, was man prinzipiell immer tun sollte, versuchte der Trojaner sich selber zu installieren, in dem bekannte Sicherheitslücken ausgenutzt wurden. Bis zu der erwähnten Java-Lücke wurden allerdings nur Lücken ausgenutzt, für die schon Patches vorlagen, d.h. ein aktualisiertes System war dann sicher. Bei der Java-Lücke gabe es ein paar Tage, in denen die Lücke ausgenutzt wurde und noch kein Update vor lag.

Wie erkennt man, ob der eigene Rechner betroffen wurde?

Man öffnet das Terminal und gibt folgende Befehle dort ein (einfach reinkopieren). Wenn man nicht betroffen ist, sollte jeder Befehl als Ausgabe "The domain/default pair of ... does not exist" liefern.

Code: [Auswählen]

defaults read /Applications/Safari.app/Contents/Info LSEnvironment

Code: [Auswählen]

defaults read /Applications/Firefox.app/Contents/Info LSEnvironment

Code: [Auswählen]

defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
Wie entfernt man den Flashback-Trojaner?

Hier gibt es unter dem Punkt "How do I remove it" eine Schritt-für-Schritt-Anleitung. Ist allerdings nicht ganz simpel.

[radneuerfinder]

Danke für die Zusammenfassung! Der beste Text, der mir bisher untergekommen ist.

[Quaestor]

Dagegen hilft gar nichts außer, man lässt nur noch signierte Software zu

Doch, Hirn.
Finde es immer wieder lustig, wie leicht man heute einfach die Verantwortung abschiebt.
Dazu passt wunder bar, das "ich brauch kein Hirn mehr" iOS.

[Florian]

Generell gebe ich Dir recht, natürlich ist der Benutzer das größte Sicherheitsrisiko.

In diesem Falle genügt(e) aber u.U.  der Besuch einer manipulierten Webseite - für den Mac ein Novum. Das kann theoretisch auch eine an sich seriöse sein, die gehackt wurde.
Man sollte auch nicht vergessen, dass es noch eine Menge Tiger- und Leopard-Installationen gibt, denen Apple keinen Patch mehr anbietet.

[MacFlieger]

Doch, Hirn.
Finde es immer wieder lustig, wie leicht man heute einfach die Verantwortung abschiebt.

OK, war etwas missverständlich ausgedrückt von mir. Ich meinte, dass gegen einen echten Trojaner keine technische Maßnahme hilft. Es wird ja keine technische Lücke ausgenutzt, sondern der Nutzer durch Tricks dazu gebracht, den Trojaner zu installieren.

Allerdings ist der Flashback-Trojaner eben hinterhältiger als reine echte Trojaner. Wenn der User das Hirn eingeschaltet hat und eben nicht installiert, dann versucht der Trojaner sich selber durch Ausnutzung von Sicherheitslücken zu installieren.

[Quaestor]

War übrigens nicht böse gemeint!
Frohe Ostern

[radneuerfinder]

Dagegen hilft gar nichts außer, man lässt nur noch signierte Software zu

Würde ein Virenscanner (mit der Funktion Echtzeitscan/on-access scan/real-time protection/background guard/Zugriffsscan/residenter Scan oder wie das heißt) nach dem Download und/oder beim Öffnen nicht ein Schild hochhalten:

   "Obacht, hier spricht ihr Virenscanner, dies ist Malware. Das Öffnen wurde vorerst blockiert."

Mich würde das mehr beeindrucken als eine Admin Kennwort Abfrage.

[MacFlieger]

Würde ein Virenscanner (mit der Funktion Echtzeitscan/on-access scan/real-time protection/background guard/Zugriffsscan/residenter Scan oder wie das heißt) nach dem Download und/oder beim Öffnen nicht ein Schild hochhalten:

   "Obacht, hier spricht ihr Virenscanner, dies ist Malware. Das Öffnen wurde vorerst blockiert."

Woher soll dieser Virenscanner denn wissen, dass es Malware ist? Der richtige Flash-Updater funktioniert doch genauso. Du willst ein Programm installieren und wenn der Virenscanner den Trojaner nicht kennt, dann kann er nicht unterscheiden, ob es Malware oder nicht ist.

Oder meinst Du Erkennung nach heuristischen Verfahren (verhaltensbasierte Erkennung)? Das ist auch ziemlich komplex und schwierig und funktioniert im Windows-Bereich auch nur sehr eingeschränkt bis gar nicht.

[radneuerfinder]

Woher soll dieser Virenscanner denn wissen, dass es Malware ist?

So wie in der Windowswelt üblich: per Verhaltenserkennung, oder per Signatur. Die werden ja mittlerweile stündlich, bzw. live verteilt. Sofort nach dem bekannt werden der Flashback Variante wäre eine MalwareSignatur möglich gewesen. Das geht doch potentiell schneller als das Stopfen von Sicherheitslücken.

Wäre das über XProtect nicht möglich gewesen?

[warlord]

Dieser Ansatz bedingt halt einfach unendlich anwachsende Signaturdatenbanken. Was irgendwann mal zum Kollaps wegen der Datenbank führt.

[MacFlieger]

So wie in der Windowswelt üblich: per Verhaltenserkennung, oder per Signatur.

Das ist klar, dass man es so machen kann. Es gibt da auch entsprechende Software dafür. Nur sollte man sich auch damit nicht in Sicherheit wiegen, denn auch diese Lösungen erhöhen nur den Schutz und zeigen evtl. gefährliche False-Positives. Kann man unter Windows gut sehen, weil dort das Hase-Igel-Rennen voll im Gange ist.
- Erkennung per Signatur: Damit "erschlägst" Du bereits bekannte Malware. Im Zeitraum bis die neue Signatur verteilt wird, hat man keinen Schutz und die "Bösen" modifizieren ihre Malware so, dass täglich einige hundert Varianten rauskommen.
- Erkennung per Verhaltenserkennung: Das ist sehr schwer, weil die Malware sich darauf einstellt und ihr Verhalten entsprechend versteckt. Die Verhaltenserkennung der Software unter Windows funktioniert nur sehr schlecht bis gar nicht.

Sofort nach dem bekannt werden der Flashback Variante wäre eine MalwareSignatur möglich gewesen. Das geht doch potentiell schneller als das Stopfen von Sicherheitslücken.

In der von Dir gemeinten Software dürfte das auch so gewesen sein. Habe ich jetzt nicht überprüft, aber gehe ich von aus. In diesem einen Fall hätte es geklappt, aber es bedeutet keine endgültige Lösung, nur den Start des Rennens...

Wäre das über XProtect nicht möglich gewesen?

Ich glaube nicht, da XProtect nur eine sehr einfache Variante derartiger Software ist. Um eine echte Antivirenlösung zu sein, müsste die deutlich ausgebaut werden, so wie Microsoft Security Essential.

Aber eine Antivirensoftware ist keine wirkliche funktionierende Lösung (und darum ging es in meinem Posting), sondern nur eine Verbesserung der Symptome.

[radneuerfinder]

Das man die absolute Sicherheit so nicht erreicht ist schon klar. Aber wenns hilft, ists doch gut. Angesicht der Anzahl an Malware funktioniert es doch unter Windows relativ gut.

Eine Blacklist mit böser Software ("Virenscanner") finde i h mindestens so sinnvoll wie eine Whitelist mit erlaubter guter Softare (AppStore, signierte Software).

[MacFlieger]

Das man die absolute Sicherheit so nicht erreicht ist schon klar. Aber wenns hilft, ists doch gut. Angesicht der Anzahl an Malware funktioniert es doch unter Windows relativ gut.

Es gibt ja entsprechende Software schon. Nur nicht direkt von Apple eine Äquivalenz zu MSE.

Ob das unter Windows "relativ gut" funktioniert, kann man unterschiedlicher Meinung sein. Liegt dann eher daran, dass relativ halt relativ ist.

[radneuerfinder]

Naja, relativ zur Aussage "ist überhauptgarkeine Lösung", "der Rechner bricht unter der Last der MalwareListe zusammen".

Die von mir betreuten Windows Rechner laufen jetzt inklusive Virenschutz nicht so holprig.

[radneuerfinder]

Es gibt ja entsprechende Software schon.

Hat denn eine der mittlerweile mannigfaltigen OS X Schutzsoftware konkret diesen Schädling erkannt?