[Xenia]

MacNN berichtet unter Berufung auf das Sicherheitsunternehmen F-Secure dass der Nachfolger des Trojaners Flashback.B, Flashback.C genannt, im Umlauf ist.

Der Trojaner tarnt sich, wie schon sein Vorgänger, als Adobes Flash Player und öffnet bei der Installation zum einen die Tür für weitere Schadsoftware, zum anderen deaktiviert er aber auch die automatischen Updates von Apples hauseigenem Anti-Malware-Programm XProtect.

Ob Flashback.C das System generell oder für eine ganz bestimmte Malware öffnen soll und ggf. für welche, ist derzeit nicht bekannt.

Mac-Usern sei an dieser Stelle aber empfohlen, Adobes Flash Player nur und ausschließlich von der Adobe-Homepage zu laden und Updates nur dann zu akzeptieren, wenn sie vom bereits installierten Flash Player direkt angeboten werden.

Der nachfolgende Screenshot zeigt das Installationsfenster von Flashback.C

Falls der Trojaner installiert wurde, ist wie folgt vorzugehen:

In case an infection has occurred, F-Secure provides instructions for removing the Trojan: Scan the whole system and take note of the detected files, then remove the plist entry:



From:

/Applications/Safari.app/Contents/Info.plist
/Applications/Firefox.app/Contents/Info.plist

Delete all detected files

At this time there is not yet a fix from Apple that would automatically flag the new Trojan version as malware when it is being installing on Mac systems, but the trojan is not actually working yet either, so users shouldn't be afraid they are already infected unless they are in the process of installing Adobe Flash from a non-legitimate source.

via

[submariner]

Kann sich das Teil auch als Flash-Update tarnen oder nur als Installer?

[Chris]

Na sowas liebe ich ja wieder!!! :thumbdown:

[maxafe]

Kann sich das Teil auch als Flash-Update tarnen oder nur als Installer?

Die Updates von Adobe tauchen ja meist kurz nach dem Start auf. Als solches kann der Trojaner sich nicht tarnen. Aber er kann auf einer Seite versteckt sein, die dann ein Popup öffnet, wo drinnen steht, dass der Player aktualisiert werden muss. Und ein unerfahrener User installiert sich statt dem Update, den Trojaner.

[submariner]

Grr, ich hab gestern erst (auf Aufforderung) ein Flash-Update gemacht. Sah halt alles ganz normal aus und ich hab mir nichts weiter dabei gedacht…

Wie bekommt man heraus, ob man diesen Mist oder den original Flash-Player installiert hat?

[Xenia]

Hast du den Flash Player ursprünglich von Adobe direkt installiert und kam die Update-Anfrage vom auf dem Mac installierten Flash Player?

[sebha]

Ich freu mich ja schon wieder auf die Kommentare der "Es gibt keinen Schadcode unter MacOs" Fraktion...
Wacht endlich auf, kein System ist sicher, und durch die steigenden Absatzzahlen rückt auch dieses System mehr vor die Flinte.

[maxafe]

So schaut das Originalupdate aus.

[submariner]

@Xenia: Ja, kam ursprünglich von Adobe. Und gestern ging dann, während ich in Safari unterwegs war, so ein typisches Adobe Update Fenster auf, aber ich bin mir ziemlich sicher, nicht auf "dubiosen" Seiten gewesen zu sein, nur den gleichen wie immer.

@maxafe: Ja, so schaute es bei mir aus.

[Xenia]

Hm. Bei mir kamen bisher immer nur Update-Anfragen vom Programm direkt und unabhängig davon, ob ich gerade in einem Browser unterwegs war.

Wie hat's denn ausgesehen? Wie der Screeshot in der News oder wie der von maxafe?

[submariner]

Definitiv wie der normale Adobe Updater Kram. Also kleine graue Fenster, nicht die OS X typischen Installationsdialoge.

[Xenia]

Ich bin natürlich auch kein Experte, das klingt aber als hättest du nicht den Trojaner erwischt.

[Xenia]

http://www.appleinsider.com/articles/11/...ction.html

In case an infection has occurred, F-Secure provides instructions for removing the Trojan: Scan the whole system and take note of the detected files, then remove the plist entry:



From:

/Applications/Safari.app/Contents/Info.plist
/Applications/Firefox.app/Contents/Info.plist

Delete all detected files

At this time there is not yet a fix from Apple that would automatically flag the new Trojan version as malware when it is being installing on Mac systems, but the trojan is not actually working yet either, so users shouldn't be afraid they are already infected unless they are in the process of installing Adobe Flash from a non-legitimate source.

[TesTT]

Was ich mich frage: Wenn sich das Ding schon als Flash-Installer tarnt, wieso dann nicht gleich richtig? Ich meine, die beiden Installer sehen halt schon sehr verschieden aus ...

[i-likeit]

Gibt es denn da "vernünftige" hauseigene Mittel von OSX zum Scannen? Oder welches Anti-Viren Programm würdet ihr generell für den Mac empfehlen? Unter Windows fand ich bitdefender ganz gut, aufm Mac ClamXav...

[youGuild]

Oh, ein Trojaner den ich nur kurz selbst installieren muss *G*

Allerdings würde mich auch mal interessieren, welcher AntiVir auf dem Mac empfehlenswert ist. Leider kenne ich da einige Leute, die so nen Update gerne einfach installieren würden..

paD

[gado]

Oh, ein Trojaner den ich nur kurz selbst installieren muss *G*

Wie denn sonst? Schadsoftware installiert man sich zu 99.9% immer selbst.

[submariner]

Ich benutze ClamX (gibt's auch kostenlos im App Store). Generell kann es auch nicht schaden einen AV-Programm auf dem Mac zu haben, wenn man regelmäßig Dateien mit Windows-Systemen austauscht - nicht um sich selbst zu schützen, sondern um nicht unnötig Viren weiterzuverbreiten.

Wobei dieses Risiko sehr gering ist, wenn die Daten aus seriösen Quellen stammen.

[voda]

Kann mir jemand sagen, was ich tun muss, um zu prüfen, ob der Trojaner bei mir drauf ist? Hatte nämlich auch ein Update des Flashplayers vor einigen Tagen.
Leider bin ich in der Mac Welt noch nicht so fit und verstehe die Anleitung nicht so wirklich.

Sorry!

[Yaan]

Mac Appstore öffnen und ClamX installieren. Dann damit Scan starten.