Auch für MacOSX: Der Jnanabot (Cross-Platfom-Trojaner)

Ob Styling oder Fragen zum Betriebssystem selber
Antworten
Benutzeravatar
majka
★ Ehrenmitglied ★
Beiträge: 3081
Registriert: 05.03.2004, 23:58

Auch für MacOSX: Der Jnanabot (Cross-Platfom-Trojaner)

Beitrag von majka » 22.01.2011, 12:50

Jnanabot: Plattformübergreifender Trojaner
Mangelnde Sicherheit im Schadcode

Ein Trojaner, der sich auf Windows, Mac OS X und Linux-Systemen ausbreitet, enthält selbst so gravierende Lücken, dass er sogar von Dritten ausgenutzt werden kann. Der in Java geschrieben Jnanabot verbreitet sich gegenwärtig über Facebook.

Selbst Programmierer von Trojanern müssen mit Sicherheitslücken kämpfen, so auch die Hacker, die den Java-Schadcode Jnanabot ersonnen. Der Trojaner ist in Java geschrieben und greift nicht nur Windows-, sondern auch Mac-OS-X-Rechner an. Selbst Linux-Systeme sind nicht vor ihm sicher, allerdings übersteht er dort einen Neustart nicht.

Einmal installiert, stellt Jnanabot eine P2P-Verbindung her, um einem Bot-Netz beizutreten. Um den Datenverkehr zu verschleiern, nutzt der Trojaner eine "starke" Verschlüsselung, wie Dean Turner, Direktor des Symantec's Global Intelligence Network im Nachrichtenportal The Register erklärt. Allerdings ist Jnanabot selbst angreifbar, und zwar über ein Directory-Traversal-Exploit. Dabei kann durch manipulierte Pfadangaben auf beliebige Verzeichnisse zugegriffen werden.

Angreifer können über eine einfache GET-Anfrage genügend Informationen sammeln, um den Trojaner, der ursprünglich für DDoS-Angriffe konzipiert wurde, dazu zu nutzen, selbst Schadcode einzuschleusen oder persönliche Daten auszuspähen.

Die Verbreitung hält sich laut Symantecs Statistiken vom Dezember 2010 in Grenzen, wenige tausend Rechner sind davon betroffen. Bekanntere und gefährlichere Trojaner erreichen meist eine Verbreitung über Hunderttausende von Infizierungen. Auf 16 Prozent der infizierten Rechner läuft laut Symantec Mac OS X. Der Trojaner wird über Facebook-Seiten verbreitet, die den makaberen Satz: "As you are on my friends list I thought I would let you know I have decided to end my life", beinhalten. Ein beigelegter Link installiert den Trojaner und überträgt den Satz auf auf die eigene Profilseite.

Jnanabot ist auch unter dem Namen Trojan.Jnanabot, OSX/Koobface.A sowie trojan.osx.boonana.a bekannt.

Quelle: http://www.golem.de/1101/80903.html
...irgendwas mit Pink wär geil!

Tante Google

Auch für MacOSX: Der Jnanabot (Cross-Platfom-Trojaner)

Beitrag von Tante Google » 22.01.2011, 12:50


Benutzeravatar
majka
★ Ehrenmitglied ★
Beiträge: 3081
Registriert: 05.03.2004, 23:58

Re: Auch für MacOSX: Der Jnanabot (Cross-Platfom-Trojaner)

Beitrag von majka » 22.01.2011, 12:50

OSX/Koobface.A Typ: Trojaner (bzw. Wurm/Trojaner)

System: Mac OS X

Alias: Boonana Trojan Horse, trojan.osx.boonana.a Zuerst gemeldet von: Intego am 27.10.2010

Beschreibung:
Koobface existiert seit längerer Zeit als Trojaner für andere OS-Systeme. Die Variante OSX/Koobface.A zielt erstmals auf Mac OS X ab und verbreitet sich laut Intego-Sicherheitsblog als Wurm, wird von einem Trojanischen Pferd in den Rechner geschleust und startet dort ein Rootkit und andere Dinge. Intego sieht jedoch ein geringes Risiko, denn OSX/Koobface.A sei nicht ausgereift und fehlerhaft programmiert. Eine Infektion konnte Intego nicht nachvollziehen ("Entweder die Malware ist mit Bugs versehen, die ein korrektes Ausführen verhindern, oder die kontaktierten Server sind nicht aktiv oder liefern die Dateien nicht vollständig aus"). Die Verbreitung sei gering.

OSX/Koobface.A verbreitet sich via Java-Applets über Social Network-Sites (darunter FaceBook, MySpace, Twitter). Stand Nov. 2010 tarnt er sich als als Link auf Video-Dateien mit dem Titel "Is this you in this video?".

Wenn man auf diesen Link klickt, führt sich der Trojaner zunächst als Java-Applet aus.

Das Java-Applet zeigt zunächst die Meldung "Das Java-Applet ... erfordert Zugriff auf Ihre Daten. Die digitale Signatur kann nicht überprüft werden." Die Details der digitalen Signatur nennen "Photo Album" als Herausgeber.

Sofern dem Java-Applet Zugriff gewährt wird, werden weitere Dateien über Port 49085 geladen - darunter ein selbst startendes Installationsprogramm. Die geladenen Dateien werden in einem unsichtbaren Ordner (.jnana) im Home-Ordner des gegenwärtigen Benutzers gespeichert.

Das Installationsprogramm zeigt das für alle Programme übliche Authorisierungsfenster und führt sich nicht unbemerkt selbst aus.

Das Installationsprogramm sei in der Lage, Zugriff auf alle Dateien des Computers von außerhalb zu ermöglichen. Zusätzlich installiere OSX/Koobface.A unsichtbare Hintergrundprozesse, die sich regelmäßig mit andere Computern verbinden, um Informationen über das infizierte System zu übertragen. Es wurde berichtet, dass sich der Trojaner nicht nur über Social Network Sites, sondern ebenso via SPAM-Mails verbreitet.

Intego geht davon aus, dass sich in Zukunft weitere Varianten dieses Wurms zeigen werden.

Der Trojaner OSX/Koobface.A ist nicht Mac-spezifisch und befällt ebenso Windows- und Linux-Systeme.

Gefährung: gering (lt. Intego) bzw. kritisch (lt. Securemac)

Schutz: Java im eigenen Browser deaktivieren oder Warndialoge von Java-Applets bewusst zur Kenntnis zu nehmen und bei unklarem Ursprung den Zugriff verweigern


Quelle: http://www.architektenwerk.de/mac_os_viren.html
...irgendwas mit Pink wär geil!

Benutzeravatar
majka
★ Ehrenmitglied ★
Beiträge: 3081
Registriert: 05.03.2004, 23:58

Re: Auch für MacOSX: Der Jnanabot (Cross-Platfom-Trojaner)

Beitrag von majka » 22.01.2011, 12:51

Ergo: Man kann bei Java-Applets "Okay" klicken wenn man wirklich weiß was es tut. Z.B. wenn es um einen Chat (z.B. auf Neurobeat-Radio.de) geht. Aber wenn man einfach nur so gefragt wird, vor allen an Stellen wo man es nicht erwartet (z.B. ein einfaches Video anschauen), dann kann das natürlich nicht in Ordnung sein und da drückt man einfach nicht auf ausführen.
Und zur Not lieber immer einmal zu viel ablehnen und bei Nichtwissen es einfach mal sein lassen.

Für MacOSX hilft (bei Panikattacken des Benutzers *g*) das kostenlose Tool ClamXav: http://www.ClamXav.com/
Damit kann man vernünftig durchscannen lassen. Aber bitte nicht wundern, wenn er auch nach Jahren der Benutzung nun mal nichts ausser uninteressanten Windowsviren findet. Die kann man ja behalten, wer weiß wann man sie mal brauchen kann :-)
...irgendwas mit Pink wär geil!

The Game
★ Ehrenmitglied ★
Beiträge: 1653
Registriert: 03.05.2005, 17:53
Geschlecht:

Re: Auch für MacOSX: Der Jnanabot (Cross-Platfom-Trojaner)

Beitrag von The Game » 22.01.2011, 18:29

Hi Majka,

danke für die Info. Ist mal interessant zu lesen. ;)
Vor allem, wo ich grad beim Schwager Linux installierte, weil er unter 7 ne kleine Virensammlung hatte. Und das, obwohl der wirklich nur "Otto normal User" ist.
Ich war erschreckt, ehrlich. Alleine die Viren, die der Virenscanner ja permanent meldete und in Quarantäne verschob, hat mich schon fast geschockt.

Das irgendwann auch unsere System nicht mehr so sicher vor Viren sind, ist eigentlich auch klar. Aber dazu gibts nen schönen Artikel im Ubuntuuser Wiki.

Und der von die von dir genannte Malware ist ja relativ einfach zu erkennen. Ist ja fast schon so, wie in der Werbung, die zur Zeit wieder im TV kommt. Wo der Perverse vor der Haustür steht, und die Mutter ihn zur kleinen Tochter lässt. Nur stellt sich nicht vor.... Der Trojaner sagt ja im Prizip: "Hallo, installier mich."

Wie wurde mir hier schon geraten, von Bembel und moo glaub ich, warens.... Brain.exe sollte man immer an haben.... :D
Deskmodder on:Facebook | Twitter | Google+

Benutzeravatar
majka
★ Ehrenmitglied ★
Beiträge: 3081
Registriert: 05.03.2004, 23:58

Re: Auch für MacOSX: Der Jnanabot (Cross-Platfom-Trojaner)

Beitrag von majka » 22.01.2011, 20:20

Ohne vorher lauthals anzuklopfen, geht es aber nun mal bei uns nicht.
Wobei Du hier ja auch zwischen Virus und Trojaner unterscheiden musst. Trojaner sind ja auch in der Linux/Mac Welt nicht ganz unbekannt.

Doch selbst massenhafte Schläge scheinen bei manchen ja nicht zu helfen und sie klicken einfach alles an, egal ob es logisch oder unlogisch erscheint.
Und bei Mac und Linux ist es sogar noch eine ganze Spur heftiger. Weil so manche Leute eben mal irgendwo gelesen haben, das es halt keine Viren gäbe, denken sich eben viele nichts dabei mal irgendwas überschnell zu erlauben. Und dann ist es passiert.
Das ist eben nicht ganz Richtig so. Für Mac ist es halt so, das es derzeit keinen bekannten und im Umlauf befindlichen Virus gibt. Trojaner aber schon. Es in in der Theorie wohl aber durchaus möglich, einen Virus in die Mac und auch in die Linux Strukturen zu kriegen. Auch ohne, das der User dazu gleich zustimmen und sogar sein Admin Passwort eintippen müsste.

Ich warte seid Jahren auf den ersten "echten" Mac/Linux Virus. Der dürfte einen ganz üblen Erfolg erleben.
Deswegen sei hiermit einfach mal darauf hingewiesen: Mit nachdenken bei dem was man tut, ist man immer besser bedient. Das haben alle Betriebssysteme identisch ;-)
...irgendwas mit Pink wär geil!

Antworten