OSX.Janicab.A

Neue Malware schleicht sich trickreich auf Macs

20 Kommentare

Die neu aufgetauchte Mac-Malware „OSX.Janicab.A“ ist ein weiterer Beleg dafür, dass steigender Erfolg auch seine Schattenseiten hat. Mit der zunehmenden Popularität von Apple-Produkten steigt auch der Reiz für Malware-Programmierer, sich auf OS X oder iOS einzunisten. Glücklicherweise schlagen die systemeigenen Schutzmechanismen bislang noch relativ gut Alarm, so auch im aktuellen Fall.

Bei „OSX.Janicab.A“ handelt es sich um einen Trojaner, der sich mithilfe eines Tricks als PDF tarnt und darauf hofft, dass der Mensch am Mac beim Öffnen unbedarft sein Kennwort für die Installation einer Software eingibt.

fenster-500

Ein ausführbares Programm (.app) mit der Endung PDF zu versehen, wird eigentlich vom System verweigert. Die Malware-Entwickler haben sich hierfür eines abgefahrenen Tricks bedient, bei dem die Endung mittels eines durch Zeichencodierung erzwungenen Rechts-nach-links-Schreibung hinzugefügt wird (das im Detail zu erklären ist ziemlich kompliziert, ausführlich findet ihr den Trick hier beschrieben).
Jedenfalls gelingt den Malware-Programmierern zwar die Tarnung, allerdings hat die Verwendung des Rechts-nach-Links-Codes auch zur Folge, dass die beim Öffnen standardmäßig angezeigte Warnmeldung von rechts nach links geschrieben und somit mehr oder weniger unleserlich ist. Spätestens hier sollte ein Computernutzer stutzig werden.

Apples Sicherheitstool Gatekeeper winkt die Malware übrigens durch, da die Schadsoftware mit einer echten Entwickler-ID zertifiziert ist. Apple kann diese ID aber kurzfristig sperren und auf diese Weise auch den Gatekeeper-Schutz wiederherstellen.

Bislang wird die Entwicklung von den Sicherheitsfirmen in erster Linie mit wissenschaftlichem Interesse betrachtet, zeugt doch die aufwändige Programmierung für eine bislang nicht bekannte Kreativität beim Programmieren von Mac-Malware. Eine konkrete Bedrohung für größere Nutzerzahlen schein erstmal ausgeschlossen.

Im aktiven Zustand baut die Malware übrigens eigenständig Verbindungen zu verschiedenen Kontrollservern auf. Um derartiges zu verhindern, ist der ja schon ab und an von uns empfohlene Netzwerkwächter Little Snitch sicherlich eine hervorragende Wahl.

(via Webroot Threat Blog)

Diskussion 20 Kommentare.
Dieser Unterhaltung fehlt Deine Stimme.
  1. “das im Detail zu erklären ist ziemlich kompliziert, ausführlich findet ihr den Trick hier beschrieben” Ich möchte nicht angreifend sein, gar den artikel kritisieren (was ich nicht will), nur denke ich bei diesem satz, das sie suggerieren, der Leser wäre doof. Für mich hätte ein einfacher verweiß gereicht.

    — ananym
    • Das war zumindest nicht mein Ansinnen. Ich bin froh, dass ich das (hoffe ich) selbst halbwegs begriffen habe und würde nie behaupten, dass jemand aufgrund der Tatsache, dass er einen komplexen und sehr fachspezifischen Sachverhalt nicht versteht doof ist.

      chris
      • Keine Sorge. Kein normaler Mensch/Leser – mit ausreichend deutschen Sprachkenntnissen – würde Euch das an dieser Stelle unterstellen!

        — ROP
      • Ich denke, dass der Artikel trifft und dass mein Vorschreiber schon absolut Recht damit hat, dass ein Leser mit ausreichender Kenntnis der deuts hen Sprache durchaus in der Lage gewesen sein sollte, den Text in seiner Aussage als “dazu sind die Leser zu doof” zu interpretieren.
        Mal ganz davon ab ist die zur Verfügung stellung des Links ja auch eine Tatsache, die aussagt:
        “Wir halten unsere Leser nicht für zu doof, auf einen Link zu klicken”…

        — iDirkPeter
      • Und Schreiber mit nicht allzu dicken Fingern sollten in der Lage sein, “deuts he” richtig zu schreiben…soviel also zu meiner Physiognomie…
        ;-)

        — iDirkPeter
  2. “Eine konkrete Bedrohung für größere Nutzerzahlen schein erstmal ausgeschlossen.” Das ist der wichtigste Satz des ganzen Artikels. Wer auf so eine Meldung wie oben im Bild zu sehen, sein Passwort angibt, dem ist eh nicht mehr zu helfen und kein Gradmesser für eine Bedrohung

    — komacrew
    • Richtig. Wenn man ein Dokument öffnen möchte und das System einen darauf hinweist, dass es sich nicht um ein Dokument, sondern eine Anwendung handelt, sollte man sowieso stutzig werden.
      Wer solche Meldungen ignoriert sollte davon absehen Computer zu verwenden. OS X hält sich mit Warnmeldungen und Passwortabfragen sehr zurück. Wenn eine Warnung auftaucht sollte man zumindest kurz darüber nachdenken ob alles seine Richtigkeit hat oder man fast etwas getan hätte, was man gar nicht wollte.
      Deswegen: FULL ACK! :)

      — Pazuzu
      • Malware ist schlimm. Punkt. Noch schlimmer sind aber selbsternannte Experten, die anderen den Gebrauch von Compuern nicht zugestehen, wenn sie nicht ein bestimmtes Verhalten an den Tag legen.

        — Teetrinker
      • komacrew und ich reden hier von Nutzern, die eindeutige Warnhinweise wissentlich und vorsätzlich ignorieren.
        Das hat nichts mit Expertentum zu tun.
        Ich hoffe, dass ich das nicht wieder mehrfach genauer aufschlüsseln muss…

        — Pazuzu
      • Die 80 Jährige Dame, der ich ab und zu bei ihrem MBA helfe ist weder dumm, noch ignoriert sie vorsätzlich was und trotzdem wūrde sie wahrscheinlich darauf reinfallen, weil sie den Kontext nicht versteht. Das Letzte was sie dann braucht sind aufgeblasene Wichtigtuer, die ihr vorhalten, selber Schuld zu sein.

        — Teetrinker
      • Dann definiere mir die Ausrede dafür, dass sie die Warnung, dass es sich bei dem vermeintlichen Dokument in Wirklichkeit um ein Programm handelt weggeklickt hätte. Und anschließend ihr Administratorpasswort eingegeben hätte um eine Installation durchzuführen? (2 Schutzmechanismen, die vom Nutzer aktiv umgangen werden)
        Sofern die alte Dame nicht einmal Programme von Dokumenten zu unterscheiden weiß, sollte sie ihr MBA mit einem normalem Nutzer-Account statt Administrator-Account nutzen und die administrative Verwaltung jemand anderen überlassen. Oder zumindest bei solchen Ungereimtheiten andere (z.B. dich) um Hilfe bitten.
        Sofern die ältere Dame eines von beidem macht verhält sie sich bereits konform und fällt nicht mehr in die kritisierte Nutzergruppe.
        Ansonsten sollte sie ihre Nutzungsweise zum eigenen Schutz und dem Schutz anderer (Thema Botnetzwerke etc.) überdenken.

        — Pazuzu
  3. Vielleicht muss man es ja nicht so krass formulieren, aber die beiden haben insofern schon recht.

    Wer sich das Teil auf den Rechner holt, muss vorsichtig formuliert schon extrem unbedarft sein.

    — roemerle
  4. Na, super!!! Jetzt fängt es auch langsam bei Mac mit Trojaner, Virus und Co. an. Hoffentlich bleibt es erst mal nur bei diesem Trojaner.

    — morraft
    • Bis jetzt gehört bei Mac Viren und Trojaner immer die Dummheit der User dazu, die den Virus dann auch manuell installieren. Wenn du also schlau genug bis, musst du dir keine Sorgen machen. ^^

      — Benjamin
      • Viren unterscheiden sich von Trojanern unter anderem darin, dass sie sich selbst verbreiten bzw. In das System einnisten können. Viren sind somit unter OS X extrem rar gesät…
        Ein Trojaner wird hingegen vom Nutzer manuell installiert. Trojaner lassen sich entsprechend per Definition für jedes(!) Betriebssystem schreiben, bei dem der Endnutzer selber Programme ausführen/installieren kann. Das System kann zwar erkennen, dass es sich hierbei um potentiell schadhafte Software handelt, allerdings bleibt es zumeist die Entscheidung des Nutzers ob er die Software installiert oder nicht.
        Trojaner gab es quasi schon immer und wird es auch immer geben. Das fing schon vor Jahrzehnten an – auch für Macs.

        — Pazuzu
  5. “Bei „OSX.Janicab.A“ handelt es sich um einen Trojaner, der sich mithilfe eines Tricks als PDF tarnt und darauf hofft, dass der Mensch am Mac beim Öffnen unbedarft sein Kennwort für die Installation einer Software eingibt.”
    Wer ist denn bitte so umnachtet (na,…von wo kommt euch das Wort gekannt vor? :D ) und gibt beim öffnen einer PDF sein Passwort ein? -.- Sowas muss einem doch sofort spanisch vorkommen.
    Also bis jetzt habe ich noch von keinen Virus oder Trojaner für den Mac gelesen, der sich OHNE Nachhilfe vom User selbst installiert hat. Bis jetzt gehörte immer die Dummheit der User dazu.

    — Benjamin
  6. OSX ist als UNIX-Derivat nicht in der Lage Programme selbsttätig auszuführen. Zwar ein sehr rudimentärer aber gleichzeitig auch mächtiger Schutzmechanismus, welcher euch besser schützt als jedes Performance belastende Virenprogramm es kann. Mitdenken vorausgesetzt! Aber Eigenverantwortung ist ohnehin nicht so en vouge, in Zeiten in denen ein auf dem Glatteis ausgerutschter den Hauseigentümer verklagt

    — iStephone
    • Einer strasse sieht man Glatteis nicht unbedingt an.
      Hat man nicht die Pflicht die Straße vor dem Haus eis-und schneefrei zu haben.

      Viel krasser finde ich wenn einer jemanden verklagt weil er sich beim Kaffe verbrannt hat.

      — iKostas

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
Insgesamt haben wir 14131 Artikel in den vergangenen 4686 Tagen veröffentlicht. Und es werden täglich mehr.


ifun - Love it or leave it   ·   Copyright © 2014 aketo GmbH - Alle Rechte vorbehalten   ·   Impressum   ·   Auf dieser Seite werben   ·   RSS