Flashback-Trojaner erkennen und entfernen

[sunshinerider69]

Wenn man nicht betroffen ist, sollte jeder Befehl als Ausgabe "The domain/default pair of ... does not exist" liefern.

Puh, das war wieder drei mal Nervenkitzel... *lach*

Aber zum Glück kam drei mal die richtige Antwort.....

[radneuerfinder]

Hat denn eine der mittlerweile mannigfaltigen OS X Schutzsoftware konkret diesen Schädling erkannt?

Nein:
http://daringfireball.net/linked/2012/04/05/flashback

[MacFlieger]

Nein:
http://daringfireball.net/linked/2012/04/05/flashback

Das steht da so nicht drin.Da steht nur, dass die AV-Software diese neue Version erst seit dem 4.4. erkennt. Von den vorherigen Varianten ist das so im Detail nicht geschrieben. Müsste man mal nachforschen, seit wann die Signaturen für die unterschiedlichen Varianten drin sind und wie lang die Reaktionszeiten waren. Das ist leider immer ein Rennen. Malware wird geschrieben und freigesetzt, dann müssen die Antiviren-Schreiber dies erst einmal erfahren, dann müssen sie das analysieren, Signatur bauen und zur Verfügung stellen, schließlich der User diese Signatur herunterladen (automatisch oder manuell). In der ganzen Zwischenzeit gibt es keinen Schutz. Und je länger das Rennen andauert, desto schneller werden neue Versionen von Malware in die Welt gesetzt und desto öfter gibt es False-Positives. Es gibt ja leider dafür ein schon seit Jahren laufendes Rennen als Fallbeispiel.

[radneuerfinder]

Derweil haben die Antivirenhersteller kostenlose Test- und Entfernungsprogramme für Flashback-Trojaner:
http://www.golem.de/news/flashback-trojaner-anzahl-infizierter-macs-steigt-weiter-1204-91034.html

[radneuerfinder]

Apple is developing software that will detect and remove the Flashback malware:
http://support.apple.com/kb/HT5244

"For Macs running Mac OS X v10.5 or earlier, you can better protect yourself from this malware by disabling Java in your web browser(s) preferences."

Heißt das der Trojaner läuft auch auf PPC Macs?

[mbs]

Heißt das der Trojaner läuft auch auf PPC Macs?

Ja.

[radneuerfinder]

In Deutschland sind angeblich rund 4000 Macs betroffen:
http://mobil.maclife.de/mac/software/utility/antiviren-firmen-entfernen-kostenlos-flashback-schadsoftware

[radneuerfinder]

Apple veröffentlicht Flashback-Entferner

http://www.heise.de/mac-and-i/meldung/Apple-veroeffentlicht-Flashback-Entferner-1520404.html

Jetzt nicht mehr nur in der Software-Aktualisierung. This update is recommended for all OS X Lion users without Java installed:
http://support.apple.com/kb/DL1517

[radneuerfinder]

Adobe schafft das Update Fenster für Flash ab. Ab dem nächsten - manuell zu installierendem Update - werden Aktualisierungen automatisch im Hintergrund durchgeführt. Das wurde kürzlich erst bei der Windows Version eingeführt.
http://www.maclife.de/mac/software/betriebssystem/flash-113-fuer-mac-os-x-adobe-veroeffentlicht-vorabversion

[MacFlieger]

Das ist erheblich besser.

Ich habe heute morgen auch wieder so ein Update-Fenster für Flash bekommen. Ich vermute(!), dass dies wirklich von Flash stammt und sich auf das gestern erschienen Update bezog, aber sicher bin ich mir nicht.
Ich habe das daher sofort geschlossen.

[warlord]

Ich habe heute morgen auch wieder so ein Update-Fenster für Flash bekommen. Ich vermute(!), dass dies wirklich von Flash stammt und sich auf das gestern erschienen Update bezog, aber sicher bin ich mir nicht.
Ich habe das daher sofort geschlossen.

Man sieht doch jeweils, dass das Fenster vom Adobe Updater kommt?

[MacFlieger]

Man sieht doch jeweils, dass das Fenster vom Adobe Updater kommt?

Woher? AFAIK täuscht der Trojaner das Fenster täuschend echt vor.

[radneuerfinder]

Man sieht doch jeweils, dass das Fenster vom Adobe Updater kommt?

Das ist doch genau das Problem. Eine Malware kann doch einen beliebigen FensterInhalt auf dem Display zeigen - auch einen, der pixelgenau einem OriginalFenster gleicht. Wie soll das der Endverbraucher erkennen??

Das Fenster vom Flashback.C Installer sieht übrigens so aus:

   
http://www.f-secure.com/v-descs/trojan-downloader_osx_flashback_c.shtml

[warlord]

Der Updater ist ja eine auf dem Mac laufende Applikation, also mit eigener Menüleiste und Icon im Dock. Das wird ein ex Website laufendes Applet wohl nicht hinkriegen, oder täusche ich mich da?

[radneuerfinder]

Der Trojan Installer ist wirklich ein Installer.pkg! Das hat man vorher selber runtergeladen, weil diese Fenster kamen:

   
http://tidbits.com/article/12818