[NewsBot]

Hier geht es zur originalen News: Alter Mac-Trojaner entdeckt: Keine akute Gefahr ABER ... im Blog

Auf Googles Schadcode-Analyse Plattform „VirusTotal“ ist ein Trojaner für OS X aufgetaucht. Der Bösewicht wurde auf den Namen „Morcut“ getauft und stammt vermutlich aus der Firma „Hacking Team“. Laut dem Sicherheitsforscher Pedro Vilaça besteht daran zumindest kein Zweifel. Die Firma wurde bekannt, als sie im Sommer 2015 selbst gehackt wurde. Dabei wurden Informationen veröffentlicht, die die Zusammenarbeit mit Regierungen bestätigen (Hallo Bundestrojaner!).

Mittlerweile wird Morcut von einigen Antiviren Programmen erkannt. Eine Analyse ergab, dass ähnlicher Schadcode bereits seit 2012 existiert. Morcut erstellt eine Hintertüre auf eurem System und treibt bereits seit Oktober 2015 sein Unwesen. Scheinbar wird die Hintertüre noch nicht genutzt. Trotzdem ist die Tatsache, dass sich dieser Trojaner auf noch unbekannten Weg auf Systeme schleust, beunruhigend.

Erkennen kann man einen befallenen Mac sehr einfach, und zwar an der Datei _9g4cBUb.psr im Verzeichnis ~/Library/Preferences/8pHbqThW/ (und an einem zugehörigen Prozess ~/Library/LaunchAgents/com.apple.FinderExtAvt.plist der sich selbst startet). Die Wahrscheinlichkeit, dass ihr betroffen seid, ist sehr gering. Ein einfaches löschen der Datei würde wohl kaum reichen, um einer professionellen Spionagesoftware das Wasser zu reichen. Eine komplette Neuinstallation wäre das mindeste was ihr tun solltet.

Wird es Windows-Viren wie Locky bald auch auf dem Mac gelingen massenhaft für Infizierungen zu sorgen? Ich denke: Nein. Auch wenn OS X durch steigende Nutzerzahlen immer attraktiver für Bösewichte wird.

Aber was kann man tun, um weiterhin einen sauberen Mac zu haben ohne dass ein ständig im Hintergrund laufender Virenscanner mein System lahmt?
Hier ein paar persönliche Tipps:
- Haltet euer System aktuell und installiert Updates
- Aktiviert Apples „Gatekeeper“ (umso höhere Sicherheitsstufe umso besser)
- Verzichtet möglichst auf Erweiterungen die für Sicherheitslücken bekannt sind (Flash, Java, ...)
- Falls ihr „unsichere“ Browser-Plugins benötigt, aktiviert diese nur temporär (ClickToPlugin ist hierfür eine praktische Safari-Erweiterung)
- Prüft euer System mit „KnockKnock (UI)“ (das kostenlose Tool listet installierte Prozesse, Erweiterungen usw. und prüft sie gleich auf VirusTotal)


Screenshot „KnockKnock (UI)"

[snowman78]

Erkennt das Tool von Malwarebytes diesen Trojaner? Oder Norton?

[René]

Laut VirusTotal erkennt Norton / Symantec den Schädling (siehe ersten Link in dem Beitrag oben).

In dem Fall ist es aber einfacher (schneller) den betroffenen Pfad zu verfolgen, als den kompletten Rechner von Norton scannen zu lassen.

PS. Das Tool KnockKnock ist aber auch wirklich klasse, so sieht man mal was alles im Hintergrund läuft. Bei mir z.B. der Google Update Dienst, der ist zwar nicht böse aber ich benötige ihn gar nicht mehr.

[snowman78]

Hmm, wie auch letztens schon mal die Frage : Wie vertrauenswürdig sind solche Tool wie das von dir genannte "KnockKnock"?!?

Habe auch gerade mal geschaut : Den genannten Ordner habe ich in den Preferences nicht...

[EDIT] : Also in der Virendatenbank von Norton taucht der Trojaner unter dem Namen nicht auf...Stand 01.03.2016...

[René]

Hmm, wie auch letztens schon mal die Frage : Wie vertrauenswürdig sind solche Tool wie das von dir genannte "KnockKnock"?!?

Diese Frage muss man sich bei jeder App stellen, die man außerhalb des Mac App Store installiert (VLC, Teamviewer, ...)

[LukeLR]

Also bei VLC als OpenSource-Projekt wohl eher kaum

[René]

[offtopic] Woher weist du das die VLC App auch wirklich mit dem öffentlichen code kompiliert wurde?

Das "böser Code" bei so viel verbreiteter Software wie dem VLC natürlich eher auffallen würde ist mir schon klar ... aber Vertrauen muss man immer in gewisser Weise mitbringen.[/offtopic]

[LukeLR]

@shortyfilms Ja, natürlich, es ist auch bei OpenSource-Software keine Garantie vorhanden, dass kein böser Code enthalten ist. Deshalb schreibe ich ja auch bewusst "wohl eher kaum" und nicht "wohl eher nicht". Ich kompiliere tatsächlich den Großteil meiner Software selbst, nicht zuletzt, weil das erforderlich wird, da ich viele Rechner ohne Intel-CPU habe.

Und bei einer OpenSource-Software ist wenigstens ein Quellcode enthalten, der beweist, dass keine Schadsoftware im Spiel ist. Das heißt, auch wenn man die Binaries verwendet, ist es trotzdem ein Grund, dem zu vertrauen. Bei ClosedSource-Software und besonders kommerzieller Software hat man diesen Quellcode nicht, und auch keinen Grund, zu vertrauen. Eher einen Grund, zu misstrauen, würde ich sagen

Deshalb, klar, man muss trotzdem irgendwo vertrauen haben, aber wenn man eh überall Vertrauen muss, dann am ehesten in OpenSource-Software, zumal diese ja auch als freie Software meist höchste rechtliche Ansprüche an sich selbst hat, keine Daten zu sammeln und so. Außerdem gibt es auch keine Firma, die dahinter steht, und mit den etwaig gesammelten Daten Geld verdienen wollen könnte. Deshalb: wenn man irgendwas vertraut, dann OpenSource-Software, ansonsten sollte man am besten gar keinen Computer nutzen ^^

[René]

Zum Thema "Apps außerhalb des Mac App Store":
http://www.heise.de/mac-and-i/meldung/Ke...29346.html

Für 24h hat sich die erste "Locky-für-Mac" Variante in der App Transmission versteckt.

[LukeLR]

Man merkt, das Mac attraktiver wird für Hacker...

[Deufel]

locky kommt nun auch auf den mac: http://www.heise.de/security/meldung/KeR...29346.html

[René]

@Deufel Hast du meinen Beitrag 2 weiter oben gesehen?

Guten Morgen ...

[Deufel]

nö, hatte eigentlich nur geschaut obs was zu locky in den ersten beitrag reineditiert wurde :P

[LukeLR]

Ist schon irgendwie merkwürdig, diese Entwicklung, vor ein paar Jahren waren Mac-Viren undenkbar, aber dadurch, das Mac so viel populärer auch bei Normal-Usern geworden ist..

[Hulk Holger]

So langsam lohnt es sich eben auch Macs angreifbar zu machen.

[LukeLR]

Jaa, genau das meine ich... :/