Die Mac-Plattform von Apple ist seit langem als sicherer als die Konkurrenz bekannt. Mit zunehmendem Umsatz und Marktanteil von Macs ist sie jedoch ein größeres Ziel.
Nirgendwo ist das so klar wie beim Flashback-Trojaner, einer kniffligen Malware, die persönliche Daten stiehlt, indem sie sich als sehr gängige Browser-Plug-Ins ausgibt. Das russische Antivirus-Unternehmen Dr. Web sagte gestern, dass schätzungsweise 600.000 Macs infiziert sind, weil Benutzer die Software unwissentlich installiert haben.
Hier finden Sie eine kurze FAQ zum Flashback-Trojaner mit Informationen dazu, was es ist, wie man es erkennt und wie Sie es beseitigen können.
Was genau ist Flashback?
Flashback ist eine Form von Malware, mit der Passwörter und andere Informationen von Benutzern über ihren Webbrowser und andere Anwendungen wie Skype abgerufen werden können. Ein Benutzer verwechselt es normalerweise für ein legitimes Browser-Plug-In, wenn er eine schädliche Website besucht. Zu diesem Zeitpunkt installiert die Software Code, der dazu dient, persönliche Informationen zu sammeln und an Remote-Server zu senden. In den neuesten Versionen kann sich die Software ohne Benutzerinteraktion selbst installieren.
Wann erschien es zum ersten Mal?
Flashback, so wie wir es kennen, erschien Ende September letzten Jahres und gab vor, ein Installationsprogramm für Adobe Flash zu sein, ein weit verbreitetes Plug-In für das Streaming von Video- und interaktiven Anwendungen, das Apple nicht mehr auf seinen Computern liefert. Die Malware wurde entwickelt, um auf die Java-Laufzeitumgebung unter OS X abzustimmen, in der Benutzer, die schädliche Websites besuchen, aufgefordert werden, sie auf ihrem Computer zu installieren, um Webinhalte anzuzeigen. Fortgeschrittene Versionen würden im Hintergrund ohne Kennwort installiert.
Wie hat es so viele Computer infiziert?
Die einfache Antwort ist, dass die Software genau dafür entwickelt wurde. In der ursprünglichen Version sah die Malware dem Flash-Installationsprogramm von Adobe sehr ähnlich. Es hat nicht geholfen, dass Apple seit über einem Jahr kein Flash auf seinen Computern ausgeliefert hat, was wahrscheinlich dazu führt, dass ein Benutzerpool erstellt wird, der häufiger das Installationsprogramm ausführt, um beliebte Websites anzuzeigen, die auf Flash laufen. Bei den neueren Java-verwandten Varianten könnte sich die Software selbst installieren, ohne dass der Benutzer etwas anklicken oder ein Kennwort angeben muss.
Was auch nicht geholfen hat, ist die Art und Weise, wie Apple mit Java umgeht. Anstatt Javas aktuelle öffentliche Version einfach zu verwenden, erstellt und verwaltet das Unternehmen seine eigenen Versionen. Wie sich herausstellte, haben die Malware-Autoren eine bestimmte Schwachstelle ausgenutzt, die Oracle im Februar korrigiert hat. Apple konnte erst im April eine eigene Java-Version reparieren.
Was hat Apple dagegen getan?
Apple hat einen eigenen in OS X integrierten Malware-Scanner namens XProtect. Seit dem Start von Flashback wurde das Sicherheitstool zweimal aktualisiert, um eine Handvoll Flashback-Varianten zu erkennen und sich gegen diese zu schützen.
Eine neuere Version der Malware konnte XProtect jedoch umgehen, indem sie ihre Dateien über Java ausführte. Apple hat den Haupteinstieg der Malware am 3. April mit einem Java-Update geschlossen und seitdem ein Entfernungsprogramm als Teil eines nachfolgenden Java-Updates veröffentlicht.
Beachten Sie, dass die Java-Sicherheitsupdates nur unter Mac OS X 10.6.8 und höher verfügbar sind. Wenn Sie also OS X 10.5 oder eine frühere Version ausführen, sind Sie immer noch anfällig. Apple stellt keine Software-Updates für diese Betriebssysteme mehr zur Verfügung.
Wie erfahre ich, ob ich es habe?
Im Moment können Sie am einfachsten feststellen, ob Ihr Computer infiziert ist, indem Sie zur Sicherheitsfirma F-Secure gehen und die entsprechende Flashback-Erkennungs- und Entfernungssoftware herunterladen. Befolgen Sie die Anweisungen hier, um sie zu erhalten und zu verwenden. Das Sicherheitsunternehmen Symantec bietet ein eigenständiges, eigenständiges Norton-Tool an, das Sie hier erhalten können.
Alternativ können Sie drei Befehle in Terminal ausführen, eine Software, die Sie im Ordner "Utilities" im Ordner "Applications" Ihres Mac finden. Wenn Sie es ohne Graben finden möchten, führen Sie einfach eine Spotlight-Suche nach "Terminal" durch.
Sobald Sie dort sind, kopieren und fügen Sie jede der unten aufgeführten Code-Zeichenfolgen in das Terminalfenster ein. Der Befehl wird automatisch ausgeführt:
Standardeinstellungen lesen Sie /Applications/Safari.app/Contents/Info LSEnvironment
Standardeinstellungen lesen Sie /Applications/Firefox.app/Contents/Info LSEnvironment
Standardwerte lesen ~ / .MacOSX / Umgebung DYLD_INSERT_LIBRARIES
Wenn Ihr System sauber ist, zeigen die Befehle Ihnen an, dass diese Domänen- / Standardpaare "nicht vorhanden" sind. Wenn Sie infiziert sind, wird der Patch für den Installationsort der Malware auf Ihrem System angezeigt.
Oh, ich habe es. Wie entferne ich es?
Wenn Sie eines der oben genannten Tools von F-Secure oder Norton verwenden, wird die Malware automatisch von Ihrem Computer entfernt, ohne dass weitere Schritte erforderlich sind. Wenn Sie eines dieser Tools von Drittanbietern aus irgendeinem Grund nicht verwenden möchten, bietet CNETs Topher Kessler eine Schritt-für-Schritt-Anleitung zum Entfernen von Flashback von Ihrem Mac. Für diesen Vorgang müssen Sie auch in Terminal gehen und diese Befehle ausführen. Anschließend müssen Sie herausfinden, wo die infizierten Dateien gespeichert sind, und sie dann manuell löschen.
Aus guten Gründen ist es auch eine gute Idee, Ihre Online-Kennwörter bei Finanzinstituten und anderen sicheren Diensten zu ändern, die Sie möglicherweise verwendet haben, während Ihr Computer gefährdet war. Es ist unklar, ob diese Daten als Teil des Angriffs anvisiert, protokolliert und gesendet wurden, aber es ist ein intelligentes präventives Verhalten, das sich regelmäßig lohnt.
Ähnliche Beiträge
- Der Flashback-Malware-Entferner von Apple ist jetzt live
- Flashback ist die größte Bedrohung für Mac-Malware, sagen Experten
- Über 600.000 mit Flashback-Botnet infizierte Macs
- Java-Update für OS X-Patches Ausnutzung von Flashback-Malware
- ZDNet: Neue Mac-Malware-Epidemie nutzt Schwachstellen im Apple-Ökosystem aus
Nun, da die Korrekturen hier sind, bin ich sicher?
Mit einem Wort, nein. Die Flashback-Autoren haben bereits gezeigt, dass sie die Malware ständig ändern, um neue Sicherheitsupdates zu umgehen.
CNET empfiehlt in erster Linie, Software ausschließlich von vertrauenswürdigen Quellen herunterzuladen. Dazu gehören die Websites bekannter und vertrauenswürdiger Softwarehersteller sowie gesicherte Repositorys wie CNETs Download.com. Als eine weitere Faustregel gilt, dass Add-Ons von Drittanbietern so aktuell wie möglich bleiben, um bei Sicherheitsupdates auf dem neuesten Stand zu bleiben. Wenn Sie noch sicherer sein möchten, halten Sie sich von Java und anderen System-Add-Ons fern, es sei denn, diese werden von einem vertrauenswürdigen Softwareteil oder einem Web-Service benötigt.
Der CNET-Blogger Topher Kessler und der Chefredakteur von CNET, Seth Rosenblatt, haben zu diesem Bericht beigetragen.
Aktualisiert am 1. April um 13:40 Uhr PT mit aktualisierten Anweisungen zum Entfernen. Aktualisiert am 6. April um 7:44 Uhr PT mit Informationen zu einem zweiten Update von Apple und um 13:55 Uhr PT mit Informationen zum webbasierten Erkennungsprogramm von Dr. Web. Aktualisiert am 9. April um 12:30 Uhr PT mit unabhängiger Bestätigung, dass das Formular von Dr. Web für die Benutzer sicher ist. Nochmals aktualisiert am 12. April um 16:00 Uhr PT, um die Veröffentlichung und Details des eigenen Entfernungsprogramms von Apple zu erfahren.
Lassen Sie Ihren Kommentar