« iTunes Music Store bekommt zwei Webby Awards | Start | Apple's moralisierende Trojaner-Reaktion »

12.05.2004

Integos zweiter Trojaner für OS X

fakewordEs tummelt sich offenbar ein angeblicher Demo Installer für die Mac Word 2004 Variante (wie bereits vorhin verlinkt) im Gnutella-Netz, 108KB groß, mit einem dem Office Installer ähnelnden Icon, wobei es sich allerdings um ein AppleScript handelt, welches auf ein shell command zurückgreift und damit das komplette Home-Verzeichnis des doppelklickenden Nutzers löscht:
"Basically, my guess is that the trojan horse is a one-line AppleScript that contains the following UNIX command (in the script, the command will be accessed via the AppleScript method for calling a shell command, but I'm not going to bother including that part here):
rm -rf ~", schreibt Rob Griffiths bei macosxhints.com.
Ein Leser von Macworld UK machte die löschvolle Erfahrung, wandte sich an die genannte Publikation, die daraufhin ausgerechnet mit den Spezialisten für OS X Trojaner-Hypes namens Intego in Kontakt trat, woraus eine entsprechende Pressemeldung und die obligatorische FAQ (inklusive Antworten von MS) entstand:
"Can this technique be used with other commands?
Nothing prevents users from creating other, similar AppleScripts, with different names and custom icons that can run the same damaging command. The current version that is in the wild only deletes a user's files and folders. Other such commands could attempt to delete all the files on a Macintosh computer running Mac OS X, but they would need to request an administrator password. However, users may not hesitate to type their administrator's password for what they think is an installer; after all, Apple's Installer requires this password to install any applications and updates to Mac OS X.
This Trojan horse highlights a serious weakness with Mac OS X. Since it is built on a Unix foundation, it can run powerful commands very easily. These commands can delete or damage a user's files with no warning, and AppleScript offers no protection against malicious commands."

Es ist eigentlich simpel: Was der Nutzer auf seinem Rechner löschen kann, das wird auch ein wie auch immer geartetes Programm für ihn trashen können, solange sich diese Applikation nun noch albern getarnt dem Doppelklicker schmackhaft macht, wird das zwangsläufig zu weiteren bösen Überraschungen führen.
Verschwörungstheoretiker dürften bei dem wilden Gemische aus Intego, Microsoft und P2P-Netzen durchaus auf ihre Kosten kommen...

Kommentar von Joe Wilcox bei MacCentral:
"This so-called Trojan horse demonstrates the dangers of file trading and downloading files from untrusted sources," Joe Wilcox, senior analyst for Jupiter Research, told MacCentral. "I say so-called because this file appears to be nothing more sophisticated than a simple AppleScript. Calling it a Trojan is a long stretch of the word's meaning."

Schönste Anmerkung bei MacDailyNews:
"...we think it's called "Intego-Schmintego."

Posted by Leo at 21:35 | Permalink

TrackBack

TrackBack-Adresse für diesen Eintrag:
https://www.typepad.com/services/trackback/6a00d83451c7b569e200d83539ec6369e2

Listed below are links to weblogs that reference Integos zweiter Trojaner für OS X: