Flashback-Trojaner erkennen und entfernen

[MacFlieger]

Der Updater ist ja eine auf dem Mac laufende Applikation, also mit eigener Menüleiste und Icon im Dock. Das wird ein ex Website laufendes Applet wohl nicht hinkriegen, oder täusche ich mich da?

Da habe ich jetzt nicht drauf geachtet. Hmmm, ich werde beim nächsten mal genau hinschauen.

Das Fenster vom Flashback.C Installer sieht übrigens so aus:

Das Fenster meinte ich nicht. Das dürfte ja erst kommen, wenn man den Start des Installationsprogrammes initiiert hat. Bei mir kam erst einmal dieses typische Adobe-graue Benachrichtigungsfenster. AFAIK kommt erst das und wenn man das bestätigt wird die Installation angeworfen.

Der Trojan Installer ist wirklich ein Installer.pkg! Das hat man vorher selber runtergeladen, weil diese Fenster kamen:

Ja, das Fenster meinte ich.

[radneuerfinder]

... wenn ich den Tidbits Artikel richtig verstehe, dann reicht es hier auf continue zu klicken, wenn dieses Zertifikat im Browser eingeblendet wird:

   

und man installiert sich den Trojaner. Sogar wenn man alle Updates hat. Richtig?

[warlord]

Der Trojan Installer ist wirklich ein Installer.pkg! Das hat man vorher selber runtergeladen, weil diese Fenster kamen:

   
http://tidbits.com/article/12818

Tja, eben. Man merkt doch nach wie vor, dass da irgend etwas nicht stimmen kann, bei alldem, was da so vor sich geht.

Und so täuschend, wie sie es mittlerweile technisch und designmässig schon hingekriegt haben mögen, da verwundert es mich dann immer wieder, dass sie regelmässig am selben scheitern, das doch eigentlich noch am einfachsten hinzukriegen wäre: am korrekten Englisch scheitern sie jedesmal. 

[radneuerfinder]

Ja, zumindest abschreiben sollte man schon können. Aber das kann ja noch werden.

[radneuerfinder]

http://www.heise.de/mac-and-i/artikel/Tiefenanalyse-Der-Flashback-Trojaner-1525100.html

[MacFlieger]

Recht interessanter Artikel.
Auch dass die Schreiber wohl noch eine Menge Spielraum zur Optimierung ihrer Software gehabt haben, ist interessant.

[radneuerfinder]

http://www.heise.de/mac-and-i/meldung/Flashback-Zwei-Drittel-aller-infizierten-Macs-laufen-mit-Snow-Leopard-1564291.html

[Florian]

Da hätte ich mehr geschätzt, schließlich wird Java mit nicht mehr mitgeliefert.

Im Artikel steht, Leopard-User seien der Malware schutzlos ausgeliefert. Java können sie aber deaktivieren, und das würde ich dringend empfehlen.

[MacFlieger]

Im Artikel steht, Leopard-User seien der Malware schutzlos ausgeliefert. Java können sie aber deaktivieren, und das würde ich dringend empfehlen.

Nur zur Präzisierung: Das Java-Plugin im Browser sollte man abschalten.

[radneuerfinder]

http://www.appleinsider.com/articles/12/05/01/flashback_os_x_malware_estimated_to_net_authors_10k_per_day.html

[warlord]

Der Updater ist ja eine auf dem Mac laufende Applikation, also mit eigener Menüleiste und Icon im Dock. Das wird ein ex Website laufendes Applet wohl nicht hinkriegen, oder täusche ich mich da?

Da habe ich jetzt nicht drauf geachtet. Hmmm, ich werde beim nächsten mal genau hinschauen.

Habe das übrigens gerade eben bildlich einfangen können (allerdings hatte ich ungeschickterweise Bildschirmfoto im Vordergrund; und nicht den Adobe Install Manager):

[warlord]

So und diesmal habe ich ihn richtig erwischt, ohne Grab im Vordergrund:

[FOX]

Woran kann man denn nun genau erkenne, ob's echt ist oder Maleware?

[warlord]

Du siehst am Dock-Icon und an der entsprechend betitelten Menu-Leiste, dass Dir das Update-Fenster von einem auf Deinem Mac installierten Programm angezeigt wird und nicht von Deinem Browser und somit nicht von irgend einer üblen Website.

[FOX]

Danke. D.h. deine Screenshots zeigen den "richtigen" Installer, richtig?

Sorry, wegen der nochmaligen Nachfrage. Bin da leider nicht richtig im Thema.