« Updates für iLife '06 | Start | Amazon mit geplanter iTMS und iPod-Konkurrenz »
16.02.2006
OS X Trojaner/Wurm tarnt sich als 10.5 Leopard Screenshot [Update_4]
Angebliche Screenshots (im JPG-Format) von OS X 10.5 Leopard, die ein neues Mitglied im MacRumors-Forum veröffentlichte, stellten sich als ausführbare Unix-Datei heraus. Die genaue Wirkungsweise der unter dem Namen "latestpics.tgz" bzw. "latestpics.tgz.tar" kursierenden Datei liegt derzeit noch ziemlich im Dunkeln, Andrew Welch schreibt über seine ersten Erkenntnisse: «In a nutshell, what this thing does is utilize Spotlight to find all of the applications on your machine. It also appears to then insert a stub of code into each application executable, rewriting the executable to load this thing's code any time any of your applications are launched. What that little code stub that it inserts does, I don't know yet.» Momentan deutet alles in Richtung Trojaner, der sich keiner Schwachstelle bedient, sondern auf die Interaktion des Nutzers angewiesen ist (Eingabe des Admin-Passworts nötig, zumindest wenn der Nutzeraccount kein Adminaccount ist). Auf Intel-Macs scheint der Code nicht ausführbar zu sein. Weiteres dazu außerdem bei MacRumors und im zugehörigen Forumsthread.
Update: Andrew Welch hat seine Ausführungen ergänzt: In der Datei ist ein Input Manager namens "apphook.bundle" verpackt, der sich bei einem Adminuser in /Library/InputManagers kopiert (und bei Nicht-Admins in ~/Library/InputManagers). Darüber lässt sich Code in jedes laufende Programm einschleusen, "apphook.bundle" versucht entsprechend latestpics.tgz über iChat an Personen in der eigenen Kontaktliste zu versenden. Zudem wird Code in die vier zuletzt vom Nutzer geöffneten Programme eingeschleust, dessen Inhalt ist derzeit allerdings noch unklar.
Update_2: Um Missverständnisse zu vermeiden: Wer seine Macs als Adminuser nutzt (und das tut jeder, der sich nicht gezielt einen neuen Nicht-Admin-Nutzer zum täglichen Arbeiten angelegt hat), muss kein Passwort beim Öffnen des als JPG getarnten Trojaners/Wurms eingeben.
Update_3: Offenbar richtet latestpics.thz nichts anderes an, als sich selbst weiterzuverbreiten und dabei die infizierten Programme unabsichtlich lahmzulegen. Andrew Welch klassifiziert den "Oompa-Loompa Trojan" momentan eher als 'proof of concept' für möglicherweise folgende Schadensroutinen, oder um einen (geglückten) Versuch zur Aufmerksamkeitserzeugung.
Update_4: Sophos hat ihn OSX/Leap-A getauft und als «instant-messaging worm for the Mac OS X platform» klassifiziert.
Posted by Leo at 09:42 | Permalink
TrackBack
TrackBack-Adresse für diesen Eintrag:
https://www.typepad.com/services/trackback/6a00d83451c7b569e200d8345cb79469e2
Listed below are links to weblogs that reference OS X Trojaner/Wurm tarnt sich als 10.5 Leopard Screenshot [Update_4]:
» Endlich ein Trojaner fr Mac OS X from Dobschats Weblog
Ja, es gab schon welche, aber hier haben wir mal einen, der in freier Wildbahn auftaucht und auch noch funktioniert zumindest wenn man als Admin arbeitet, was eben auch bei Mac OS X Standardeinstellung ist. Glcklicherweise enthlt &... [Mehr erfahren]
verlinkt am 16.02.2006 13:36:38