Während OS X in den ersten zehn Jahren seiner Nutzung relativ frei von Malware war, sind in letzter Zeit Malware-Schrecken aufgetreten, von denen zahlreiche Mac-Systeme betroffen sind.

Einer der ersten war der gefälschte Antivirus-Betrug von MacDefender, bei dem die Leute Kreditkarteninformationen aus Angst vor der Infizierung ihrer Systeme herausgaben. Dieser Betrug veränderte sich ziemlich schnell, als er versuchte, eine Entdeckung zu vermeiden und die Menschen weiterhin dazu gezwungen haben, persönliche Informationen anzubieten. Ein weiterer Betrug war die DNSChanger-Malware, von der Millionen von PC-Systemen weltweit betroffen waren und letztendlich betroffene Systeme auf bösartige Websites verwiesen haben. Wie die MacDefender-Malware versuchte sie, Menschen dazu zu bringen, persönliche Informationen anzubieten.

Die letzte Malware, die auf OS X zu finden war, war der Flashback-Betrug, der ursprünglich als gefälschter Flash Player-Installer gestartet wurde, der relativ leicht zu vermeiden war. Die Bedrohung verwandelte sich jedoch schnell in eine ernstere Bedrohung, da ungepatchte Sicherheitslücken in Java (die Apple inzwischen angesprochen hat) für die Installation auf einem Mac mit Java verwendet werden, indem lediglich eine bösartige Webseite aufgerufen wird und keine Aufmerksamkeit des Benutzers erforderlich ist. Bislang wurden weltweit über 600.000 Mac-Systeme infiziert, die meisten davon in den USA und Kanada.

Wie funktioniert es?

Die Flashback-Malware fügt Code in Anwendungen ein (insbesondere in Webbrowser), die bei ihrer Ausführung ausgeführt werden und Screenshots und andere persönliche Informationen an Remote-Server senden.

Erster Schritt: Java nutzen

Wenn Sie auf die schädliche Webseite stoßen, die die Malware enthält, und auf Ihrem System eine nicht gepatchte Java-Version ausgeführt wird, wird zunächst ein kleines Java-Applet ausgeführt, das bei Ausführung die Java-Sicherheit durchbricht und ein kleines Installationsprogramm in das Konto des Benutzers schreibt. Das Programm trägt den Namen .jupdate, .mkeeper, .flserv, .null oder .rserv und wird durch den Zeitraum davor in der Standard-Finder-Ansicht ausgeblendet.

Darüber hinaus schreibt das Java-Applet eine Launcher-Datei mit dem Namen "com.java.update.plist", "com.adobe.reader.plist", "com.adobe.flp.plist" oder sogar "null.plist". in den Ordner ~ / Library / LaunchAgents / des aktuellen Benutzers, der das .jupdate-Programm kontinuierlich startet, wenn der Benutzer angemeldet ist.

Um eine Erkennung zu vermeiden, sucht das Installationsprogramm zunächst nach Antivirenprogrammen und anderen Dienstprogrammen, die möglicherweise auf dem System eines Power-Benutzers vorhanden sind. Dazu gehören laut F-Secure die folgenden:

/ Bibliothek / Kleiner Schnatz

/Developer/Applications/Xcode.app/Contents/MacOS/Xcode

/ Anwendungen / VirusBarrier X6.app

/Anwendungen/iAntiVirus/iAntiVirus.app

/Applications/avast!.app

/Anwendungen/ClamXav.app

/Anwendungen/HTTPScoop.app

/ Anwendungen / Paket Peeper.app

Wenn diese Tools gefunden werden, löscht die Malware sich selbst und versucht, die Erkennung durch diejenigen Personen zu verhindern, die über die entsprechenden Mittel und Möglichkeiten verfügen. Viele Malware-Programme verwenden dieses Verhalten, wie es beispielsweise bei Tsunami-Malware-Bot vorkommt.

Zweiter Schritt: Laden der Payload

Wenn das jupdate-Programm ausgeführt wird, stellt es eine Verbindung zu einem Remote-Server her und lädt ein Payload-Programm herunter, bei dem es sich um die Malware selbst handelt und die aus zwei Komponenten besteht. Der erste ist der Hauptteil der Malware, der die Erfassung und den Upload persönlicher Informationen durchführt, und der zweite ist eine Filterkomponente, mit der verhindert wird, dass Malware ausgeführt wird, es sei denn, bestimmte Programme wie Webbrowser werden verwendet.

Dritter Schritt: Infektion

Sobald die Malware und der Filter heruntergeladen sind, wird die Malware ausgeführt, um das System zu infizieren. Hier wird Benutzern eine Warnmeldung zu einem Softwareupdate angezeigt und zur Eingabe ihrer Kennwörter aufgefordert. An dieser Stelle steht der Infektion leider nichts mehr im Weg, und ob ein Passwort angegeben wird, ändert nur die Art der Infektion.

Die Wurzel der Infektionsroutine basiert auf der Entführung von Konfigurationsdateien in OS X, die beim Ausführen von Programmen gelesen und ausgeführt werden. Eine davon heißt "Info.plist", die sich im Ordner "Contents" jedes OS X-Anwendungspakets befindet und wird immer dann gelesen, wenn das betreffende Programm geöffnet wird. Die zweite heißt "environment.plist" und befindet sich innerhalb des Benutzerkontos in einem versteckten Ordner (~ / .MacOSX / environment.plist), der zum Starten von Parametern verwendet werden kann, wenn vom Benutzer Programme geöffnet werden.

Die erste Art der Infektion ist, wenn ein Kennwort angegeben wird. In diesem Fall ändert die Malware die Info.plist-Dateien in Safari und Firefox so, dass die Malware beim Öffnen dieser Programme ausgeführt wird. Dies ist der bevorzugte Infektionsmodus der Malware. Wenn jedoch kein Kennwort angegeben wird, greift die Malware auf den zweiten Infektionsmodus zurück, in dem die Datei "environment.plist" geändert wird.

Bei Verwendung der Datei environment.plist wird die Malware immer dann ausgeführt, wenn eine Anwendung geöffnet wird. Dies führt zu Abstürzen und anderen ungeraden Verhaltensweisen, die einen Alarm für den Benutzer verursachen können. Die Malware-Komponente verwendet dann die Filterkomponente, um nur bei bestimmten Anwendungen ausgeführt zu werden gestartet werden, wie beispielsweise Safari-, Firefox-, Skype- und sogar Office-Installationen.

Nach dem Herunterladen infiziert die Malware das System mit einem dieser Ansätze und wird immer ausgeführt, wenn Zielanwendungen wie Webbrowser verwendet werden. Bei neueren Varianten der Malware wird das System bei der Installation mit der Datei "environment.plist" weiter geprüft, um sicherzustellen, dass vollständige Installationen von Programmen wie Office oder Skype vorhanden sind, und es kann sich möglicherweise selbst löschen, wenn diese Programme nicht vollständig oder nicht ordnungsgemäß ausgeführt werden Eingerichtet. F-Secure spekuliert, dies sei ein Versuch, die Früherkennung der Malware zu verhindern.

Wie erkenne ich es?

Das Erkennen der Malware ist relativ einfach und erfordert, dass Sie einfach die Terminalanwendung im Ordner / Applications / Utilities / öffnen und die folgenden Befehle ausführen:

Standardwerte lesen ~ / .MacOSX / Umgebung DYLD_INSERT_LIBRARIES

Standardeinstellungen lesen Sie /Applications/Safari.app/Contents/Info LSEnvironment

Standardeinstellungen lesen Sie /Applications/Firefox.app/Contents/Info LSEnvironment

Diese Befehle lesen die Datei "Info.plist" einiger Zielanwendungen und die Datei "environment.plist" im Benutzerkonto und bestimmen, ob die Variable zum Starten von Malware (mit dem Namen "DYLD_INSERT_LIBRARIES") vorhanden ist. Wenn die Variable nicht vorhanden ist, geben diese drei Terminalbefehle aus, dass das Standardpaar "nicht vorhanden" ist. Wenn sie jedoch vorhanden sind, geben diese Befehle einen Pfad aus, der auf die Malware-Datei verweist, die Sie im Terminal sehen sollten Fenster.

Zusätzlich zu den oben genannten Befehlen können Sie das Vorhandensein von unsichtbaren .so-Dateien überprüfen, die frühere Varianten der Malware im gemeinsam genutzten Benutzerverzeichnis erstellen, indem Sie den folgenden Befehl im Terminal ausführen:

ls -la ~ /../ Shared /.*. so

Wenn Sie nach dem Ausführen dieses Befehls eine Ausgabe von "Keine solche Datei oder ein solches Verzeichnis" sehen, befinden sich diese Dateien nicht im freigegebenen Verzeichnis des Benutzers. Wenn sie jedoch vorhanden sind, werden sie aufgelistet angezeigt.

Wie entferne ich es?

Wenn Sie nach den ersten drei Erkennungsbefehlen feststellen, dass Ihr System die geänderten Dateien enthält und Sie vermuten, dass Malware installiert ist, können Sie sie mithilfe der Anweisungen zum manuellen Entfernen von F-Secure entfernen. Diese Anweisungen sind etwas ausführlicher, aber wenn Sie sie genau befolgen, sollten Sie das System von der Infektion befreien können:

1. Öffnen Sie das Terminal und führen Sie die folgenden Befehle aus (wie oben beschrieben):

   Standardeinstellungen lesen Sie /Applications/Safari.app/Contents/Info LSEnvironment

   Standardeinstellungen lesen Sie /Applications/Firefox.app/Contents/Info LSEnvironment

   Standardwerte lesen ~ / .MacOSX / Umgebung DYLD_INSERT_LIBRARIES

   Wenn diese Befehle ausgeführt werden, notieren Sie sich den vollständigen Dateipfad, der an das Terminalfenster ausgegeben wird (er kann mit dem Begriff "DYLD_INSERT_LIBRARIES" gekoppelt werden). Kopieren Sie für jeden Befehl, der einen Dateipfad ausgibt (und nicht, dass das Domänenpaar nicht vorhanden ist) den vollständigen Dateipfadabschnitt, und führen Sie den folgenden Befehl mit dem Dateipfad anstelle von FILEPATH im Befehl aus (Kopieren und Einfügen) dieser Befehl):

   grep -a -o '__ldpath__ [- ~] *' FILEPATH
2. Suchen Sie die Dateien, die in der Ausgabe der obigen Befehle erwähnt werden, und löschen Sie sie. Wenn Sie sie nicht im Finder finden können, geben Sie für jeden ersten "sudo rm" in das Terminal gefolgt von einem einzigen Leerzeichen ein. Wählen Sie dann mit dem Mauszeiger den vollständigen Dateipfad in der Ausgabe des ersten Befehls aus und verwenden Sie dann Befehlstaste-C gefolgt von Command-V, um es zu kopieren und wieder in das Terminal einzufügen. Drücken Sie dann die Eingabetaste, um den Befehl auszuführen und diese Datei zu entfernen.

   In dem folgenden Screenshot sehen Sie ein Beispiel, wie dies aussehen sollte:

   

3. Wenn Sie alle Dateiverweise durch die oben genannten "Standardeinstellungen" gelöscht haben, haben Sie die Malware-Dateien entfernt. Sie müssen jedoch die geänderten Anwendungen und Kontodateien zurücksetzen. Führen Sie dazu die folgenden Befehle aus:

   Sudo-Standardwerte löschen /Applications/Safari.app/Contents/Info LSEnvironment

   sudo chmod 644 /Applications/Safari.app/Contents/Info.plist

   Sudo-Standardwerte löschen /Applications/Firefox.app/Contents/Info LSEnvironment

   sudo chmod 644 /Applications/Firefox.app/Contents/Info.plist

   Standardeinstellungen löschen ~ / .MacOSX / Umgebung DYLD_INSERT_LIBRARIES

   launchctl unsetenv DYLD_INSERT_LIBRARIES
4. Gehen Sie im Finder zum Menü Gehe zu und wählen Sie Bibliothek (halten Sie die Wahltaste in Lion gedrückt, um diese Option im Menü anzuzeigen). Öffnen Sie dann den Ordner LaunchAgents, in dem eine Datei mit dem Namen "com.java.update" angezeigt wird .plist. " Geben Sie anschließend den folgenden Befehl in das Terminal ein (Hinweis: Ändern Sie den Namen von "com.java.update"), um den Namen der Datei vor dem .plist-Suffix anzuzeigen, z. B. "com.adobe.reader" habe diese Datei):

   Standardeinstellungen lesen ~ / Library / LaunchAgents / com.java.update ProgramArguments

   Wenn dieser Befehl abgeschlossen ist, drücken Sie die Eingabetaste, und beachten Sie den Dateipfad, der im Terminalfenster ausgegeben wurde.

   Suchen Sie diese Datei wie bereits zuvor im Finder und löschen Sie sie. Wenn Sie dies nicht tun können, geben Sie "sudo rm" gefolgt von einem einzigen Leerzeichen ein. Kopieren Sie dann den Pfad der Ausgabedatei in den Befehl und drücken Sie die Eingabetaste.

5. Wenn Sie versteckte .so-Dateien entfernen möchten, die zuvor gefunden wurden, können Sie sie entfernen, indem Sie den folgenden Befehl im Terminal ausführen (kopieren Sie diesen Befehl und fügen Sie ihn ein, da in der letzten Komponente, die die Symbole und Satzzeichen enthält, absolut keine Leerzeichen vorhanden sein sollten ):

   sudo rm ~ /../ Shared /.*. so

   Nachdem dieser Schritt abgeschlossen ist, entfernen Sie die Datei mit dem Namen "com.java.update.plist" (oder "com.adobe.reader.plist"), und Sie sollten bereit sein.

AKTUALISIERT: 05.04.2012, 22:00 Uhr - Es wurden Anweisungen zum Erkennen und Entfernen versteckter .so-Dateien hinzugefügt, die von früheren Varianten der Malware verwendet wurden.