Haupt Sonstiges Leap-A-Malware: Was Sie wissen müssen
Sonstiges

Leap-A-Malware: Was Sie wissen müssen

NachrichtenTablets 16. Februar 2006 16:00 PST

Das Schlimmste, was Sie tun können, wenn eine Virusschrecke auftritt, ist in Panik zu geraten. Das zweitschlimmste, was Sie tun können, ist, sich nicht zu informieren.

Bei Berichten über das Leap-A-Programm, das einige Macs infiziert, ist es wichtig, die Nachrichten im Blick zu behalten. Obwohl Leap-A das Potenzial für Unheil birgt, ist es nicht wie ein lähmender Windows-Virus, der den Rest der Computerwelt regelmäßig in die Knie zwingt. Noch wichtiger ist, dass dieser Vorfall, wie unten erläutert, keine Sicherheitslücke im Mac-Betriebssystem aufdeckt. Vielmehr handelt es sich um eine Malware, die von wachsamen Mac-Benutzern leicht zurückgewiesen werden kann.

Trotzdem lohnt es sich, potenziell schädliche Dinge wie Leap-A im Auge zu behalten. Nach einem Tag der Recherche und dem Testen der Malware für uns selbst, erfahren Sie hier, was Sie über Leap-A wissen müssen.

Time Machine-Backup auf Netzlaufwerk

Was ist Sprung-A?

Leap-A – oder Oompa Loompa, wie es auch genannt wird – ist ein potenziell bösartiges Programm, das als einfache Bilddatei getarnt ist. Diese Versandart ist bekannt als a Trojanisches Pferd , weil es eine Sache ist, vorzugeben, tatsächlich etwas anderes zu sein. In seiner jetzigen Form versteckt sich der Code in einer Datei namens neueste bilder.tgz , was vorgibt, ein Bild von etwas Interessantem zu sein (in diesem Fall OS X 10.5-Spionageaufnahmen). Nachdem Sie das komprimierte Archiv erweitert und dann auf eine scheinbar Bilddatei doppelgeklickt haben, wird die Leap-A-Malware gestartet und auf Ihrem System installiert.

Nach der Installation macht Leap-A zwei Dinge. Zuerst versucht es, eine Version von sich selbst an alle auf Ihrer iChat-Buddy-Liste zu senden. Alle Ihre Freunde erhalten die standardmäßige iChat-Dateiübertragungsnachricht, obwohl Sie auf Ihrer Seite keine Aktivität sehen. Zweitens beginnt Leap-A mit der Infektion von Cocoa-Anwendungen auf Ihrem Computer über einen InputManager, den es im Verzeichnis Ihres Benutzers installiert. Jedes Mal, wenn Sie eine infizierte Cocoa-Anwendung starten, verwendet Leap-A die Spotlight-Suchfunktion von OS X 10.4, um die vier zuletzt verwendeten Anwendungen zu finden. Wenn es sich um Kakao-Apps handelt, wird Leap-A sie ebenfalls infizieren.

(Wenn Sie nicht wissen, was eine Cocoa-Anwendung genau ist, Cocoa ist eine Entwicklungsumgebung für OS X-Anwendungen. Die meisten Anwendungen von Apple und einige Programme von Drittanbietern sind in Cocoa geschrieben. Safari, Mail, Adressbuch , iCal, Terminal sind einige der Cocoa-Anwendungen von Apple; Camino, OmniWeb und OmniGraffle sind Beispiele für Anwendungen von Drittanbietern, die in Cocoa geschrieben wurden.)

Eine viel tiefere und technische Erklärung von Leap-A finden Sie in diese Analyse von Ambrosia Software Gründer Andrew Welch . Er erklärt genau, was passiert, wenn Sie das Programm herunterladen, erweitern und dann ausführen.

Sie sagten, Leap-A verwendet Spotlight. Was ist, wenn ich OS X 10.4 noch nicht verwende?

Leap-A funktioniert aufgrund der Verwendung von Spotlight nur auf Systemen, auf denen Tiger ausgeführt wird.

Wie würde das Ding auf meine Maschine kommen?

Sie können die Leap-A-Malware nur auf Ihrem Computer installieren, wenn Sie etwas unternehmen, um sie selbst dort zu platzieren. Möglicherweise erhalten Sie eine Datei von einem Buddy in iChat, laden etwas aus dem Internet herunter oder öffnen einen Anhang einer E-Mail-Nachricht. Der Programmcode versteckt sich derzeit in angeblich Bildern von OS X 10.5, Apples nächstem großen OS X-Upgrade. Um Leap-A auf Ihrem Computer zu installieren, müssen Sie (a) die Datei erhalten, die komprimiert ist; (b) das Archiv erweitern; und (c) doppelklicken Sie auf eine scheinbar Bilddatei, um den Code auszuführen. Sie können die Malware nicht erhalten, indem Sie einfach im Internet surfen, E-Mails lesen oder mit Freunden in iChat chatten.

Was es natürlich schwieriger macht, Leap-A zu erkennen, ist die Tatsache, dass es als etwas anderes getarnt ist. Nachfolgend finden Sie einige Ratschläge, wie Sie eine versehentliche Infektion Ihres Geräts mit Leap-A vermeiden können.

Trotzdem habe ich nach Leap-A gesucht, um zu testen, wie es sich auf einer gesicherten Maschine verhält. Es war nicht leicht zu finden, und selbst wenn ich eine Version fand, schien ihr Verhalten nicht dem von Andrew Welch beschriebenen zu entsprechen. Meine Anwendungen wurden nicht infiziert und es wurde nichts über iChat gesendet. Natürlich können im Laufe der Zeit andere Versionen mit weiter verbreiteter Verbreitung veröffentlicht werden, so dass meine Unfähigkeit, Leap-A leicht zu finden, möglicherweise nicht immer der Fall ist.

Wird Leap-A meinem Mac etwas anhaben?

In seiner aktuellen Version tut der Code nicht wirklich etwas Schädliches, wie zum Beispiel das Löschen von Dateien, das Ändern von Berechtigungen oder das Verschieben von Anwendungen. Aufgrund eines Fehlers im Code verhindert Leap-A jedoch die Ausführung infizierter Anwendungen. Die einzige Lösung für dieses Problem besteht darin, saubere Kopien der Originalanwendungen zu installieren. Ihre Daten sind also zumindest ab sofort nicht gefährdet. Beachten Sie, dass es relativ einfach sein wird, Varianten von Leap-A zu veröffentlichen, die viel bösartiger sein könnten.

Handelt es sich um einen Virus, einen Wurm, eine Malware oder ein Trojanisches Pferd?

Technisch ist es von allem etwas. Es ist ein Virus , in dem Sinne, dass es sich an anderen ausführbaren Code auf Ihrem Mac anhängt. Es ist ein Wurm , indem es versucht, sich selbst zu replizieren und von Maschine zu Maschine zu verbreiten. Es ist ein Stück von Malware , weil es Ihrem Computer schaden kann. Im Grunde handelt es sich um eine Malware, die über ein Trojanisches Pferd übertragen wird und dann sowohl viral als auch wurmartig wirkt.

Inwiefern ist das ein Trojanisches Pferd?

Das Programm funktioniert durch Social Engineering – es gibt vor, ein Bild von etwas zu sein, das viele Leute sehen möchten, um sie dazu zu verleiten, es zu öffnen. In diesem Fall soll es sich um Images von Leopard, Apples kommendem OS X 10.5-Release, handeln.

Auf welche Weise ist das viral?

Ein Virus ist ein sich selbst replizierendes Programm, das sich verbreitet, indem es Kopien von sich selbst in andere laufende Apps einfügt. Leap-A macht genau das durch die Verwendung des InputManagers-Ordners, wie in Andrew Welchs Analyse beschrieben. Schließlich wird es jede von Ihnen gestartete Cocoa-Anwendung infizieren. Und aufgrund eines Fehlers im Code werden diese infizierten Apps nicht mehr ausgeführt! Allerdings ist Leap-A kein wahr Virus, da es sich nicht ohne menschliches Eingreifen von Maschine zu Maschine ausbreiten kann.

Inwiefern ist dieses Ding ein Wurm?

Die einzige Mission von Leap-A scheint es zu sein, zu versuchen, sich so vielen Menschen wie möglich zugänglich zu machen. Das Programm erstellt eine saubere Kopie von sich selbst, die es dann versucht, an jeden Benutzer in Ihrer iChat-Buddy-Liste zu senden. Wenn diese Benutzer die Datei akzeptieren, das Archiv erweitern und dann auf die resultierende Bilddatei doppelklicken, werden sie ebenfalls infiziert. Beachten Sie erneut, dass menschliches Eingreifen erforderlich ist, um die Ausbreitung des Wurms zu unterstützen.

Wie kann ich mich vor Leap-A schützen?

Wenn du benutzt Sophos Anti-Virus , Norton AntiVirus von Symantec oder Integos VirusBarrier X4 , wurden alle diese Programme bereits aktualisiert, um zu verhindern, dass Leap-A auf Ihrem System installiert wird. Denken Sie daran, dass die meisten Antivirenprogramme für jede Version eines Exploits aktualisiert werden müssen. Stellen Sie daher sicher, dass Ihre Virendefinitionen aktuell sind. Wenn Sie jedoch bereits infiziert sind, können diese Programme die Infektion möglicherweise nicht beseitigen.

So formatieren Sie einen USB-Stick auf dem Mac

Wie kann ich feststellen, ob sich die Leap-A-Malware auf meinem Computer befindet?

Öffnen Sie den Library-Ordner Ihres Benutzers, dann den InputManagers-Ordner und suchen Sie nach einem Ordner namens verabscheuen . Wenn es da ist, hast du es. Beachten Sie, dass zukünftige Versionen der Malware diesen Namen möglicherweise ändern können. Es lohnt sich daher, für alle Fälle zu beachten, was jetzt dort installiert ist. Beachten Sie, dass dieser Ordner kein Standardbestandteil von OS X ist und Sie ihn nur haben, wenn Sie bestimmte Zusatzprogramme wie SafariStand, Sogudi oder Chax installiert haben.

Wie werde ich es los?

Löschen Sie den Ordner mit dem Namen verabscheuen aus dem Library/InputManagers-Ordner Ihres Benutzers. Verwenden Sie im Finder Gehe zu: Gehe zu Ordner und geben Sie . ein

|_+_| als Ihr Ziel. Wenn dieser Ordner geöffnet wird, löschen Sie neueste bilder.tgz aus dem Ordner. So viel zu den einfachen Teilen.

Wenn Sie infizierte Anwendungen haben, die sich nicht starten lassen (obwohl ich dieses Problem in meinen Tests nicht reproduzieren konnte), ist es am besten, diese Anwendungen von ihrer Quell-CD oder -DVD neu zu installieren – nicht von einem Backup, falls diese Anwendungen bereits infiziert waren .

Alle meine Anwendungen scheinen zu funktionieren, aber ich habe die verabscheuen Mappe. Was sollte ich tun?

Kannst du die Galaxy Watch mit dem iPhone verwenden?

Theoretisch bedeutet dies, dass Ihr Computer infiziert ist. Basierend auf meinen Experimenten führt Ihr Computer das Programm jedoch nicht vollständig aus, wenn sich Ihre iChat-Freunde nicht darüber beschweren, dass Sie ihnen eine unaufgeforderte Datei senden. Auf meinem Testcomputer scheinen die Anwendungen von Leap-A nicht modifiziert zu werden, also sind Sie fertig, wenn Sie apphook und die Datendatei auf /tmp entfernt haben.

Was sagt Apple zu all dem?

Das sagte das Unternehmen meinem Kollegen Peter Cohen:

Leap-A ist kein Virus, sondern bösartige Software, bei der ein Benutzer die Anwendung herunterladen und die resultierende Datei ausführen muss. Apple rät Macintosh-Benutzern immer, nur Dateien von Anbietern und Websites zu akzeptieren, die sie kennen und denen sie vertrauen. Wir haben eine Anleitung zum sicheren Umgang mit Dateien aus dem Internet .

Wie kann ich mich sonst vor Leap-A und seinesgleichen schützen?

Abgesehen von der Verwendung eines Antivirenprogramms können Sie hier einige einfache Maßnahmen ergreifen, um eine Infektion zu verhindern:

  • Laden Sie Software nur von bekannten und vertrauenswürdigen Websites herunter, wie z MacUpdate und VersionTracker . Nehmen Sie sich jedoch auch bei der Verwendung von Websites wie diesen die Zeit, Kommentare von anderen Postern zu lesen, bevor Sie eine neue Anwendung herunterladen.
  • Nachdem Sie ein Archiv erweitert haben, sehen Sie sich das Symbol im Finder an, bevor Sie das erweiterte Programm starten. In diesem Fall sehen Sie so etwas wie das Bild rechts (obwohl Sie möglicherweise eine tatsächliche Vorschau des JPEGs anstelle des allgemeinen OS X-Bildsymbols sehen). Beachten Sie, dass die Zeile Kind angibt, dass dies eine ausführbare Unix-Datei ist, obwohl der Finder anzuzeigen scheint, dass es sich um ein Bild handelt. Dies sollte ein Tipp sein, diese Datei nicht zu öffnen!
  • Die Ausführung als Nicht-Administrator würde auch funktionieren – bis zu einem gewissen Punkt. Die Funktionsweise dieses speziellen Programms: Sobald Sie das Passwort Ihres Admin-Benutzers für eine Aufgabe eingeben, kann der Code ausgeführt werden. Um 100-prozentig sicher zu sein, müssten Sie also als Nicht-Admin-Benutzer laufen und sich dann physisch beim Admin-Konto anmelden, wenn Sie etwas Admin-ähnliches tun möchten. Wenn Sie Ihr Passwort als Nicht-Administrator eingeben, erhalten Sie auf Administratorebene Zugriff auf den Code (für die nächsten fünf Minuten aufgrund des integrierten OS X-Timeouts für den Administratorzugriff), der immer ausgeführt wird, wenn Sie einen Cocoa haben Bewerbung geöffnet. Wenn Sie also als Nicht-Administrator arbeiten, müssen Sie dies zu 100 Prozent tun und niemals das Administratorkennwort angeben, wenn Sie dazu aufgefordert werden. Dies könnte sich in der täglichen Praxis als schwierig erweisen, obwohl die schnelle Benutzerwechselfunktion von OS X es etwas einfacher macht.
  • Schließlich können Sie den Besitzer des InputManagers-Ordners ändern. Dies würde den Schaden an den Programmen im Anwendungsordner nicht verhindern, aber es würde verhindern, dass das Programm versucht, über iChat zu replizieren. Der einfachste Weg, dies zu tun, ist die Verwendung von Terminal in Anwendungen: Dienstprogramme. Zuerst müssen wir sicherstellen, dass dieser Ordner existiert, da er nicht standardmäßig installiert ist. Also tippe einfach

    |_+_| und drücken Sie die Eingabetaste. Sie erhalten entweder die Eingabeaufforderung ohne Nachricht zurück, was bedeutet, dass der Ordner erstellt wurde, oder Terminal teilt Ihnen mit, dass die Datei bereits vorhanden ist. In beiden Fällen sind Sie jetzt bereit für den nächsten Befehl: |_+_|

    Wenn Sie die Eingabetaste drücken, werden Sie nach dem Passwort Ihres Admin-Benutzers gefragt. Geben Sie es ein, und Ihr InputManagers-Ordner ist jetzt effektiv vom Zugriff gesperrt – durch Leap-A oder einen anderen Code, der etwas dort platzieren möchte. Wenn Sie Add-Ons wie SafariStand oder installieren möchten Sogudi für Safari oder Chax für iChat müssen Sie diesen Ordner dazu vorübergehend in Ihren Besitz zurückgeben. Führen Sie dies im Terminal aus, bevor Sie die Installationsprogramme dieser Programme ausführen:

    /tmp

    Ersetzen

    |_+_| mit dem kurzen Benutzernamen Ihres Benutzers. Jetzt können Sie das Installationsprogramm ausführen und dann den ersten Befehl erneut ausführen, um den Besitz wieder auf Root umzustellen. Da nichts anderes in diesen Ordner geschrieben werden sollte, sollte dies keine alltäglichen Unannehmlichkeiten verursachen und scheint eine gute Methode zum Schutz vor diesem speziellen Exploit zu sein.

    In meinen Tests schlug das Skript mit einem Fehler fehl, als es versuchte, seinen Teil im jetzt geschützten InputManagers-Ordner zu installieren, und schien dann den Rest des Skripts nicht auszuführen. Wie oben erwähnt, habe ich jedoch nicht die gleichen Verhaltensweisen wie Andrew Welch festgestellt, obwohl wir beide dieselbe Version von Leap-A verwendeten.

    Die Quintessenz

    Wenn Sie sicheres Herunterladen üben, müssen Sie sich bei diesem speziellen Codestück wirklich keine Sorgen machen. Es ist jedoch eine gute Erinnerung, dass Sie wachsam sein müssen, da es Leute gibt, die Ihrer Maschine schlechte Dinge antun möchten. Die gute Nachricht ist, dass Leap-A keine Sicherheitslücke in OS X aufgedeckt hat. Vielmehr ist es nur eine Software, die böse Dinge tut, nachdem sie Sie dazu gebracht hat, sie auf Ihrem Computer zu installieren.

    Die Leap-A-Malware bedeutet nicht, dass OS X weniger sicher vor Viren ist als vor seiner Veröffentlichung. Social-Engineering-Malware war schon immer möglich und wird immer möglich sein. Wenn Sie einen Benutzer dazu bringen können, etwas auszuführen, können Sie natürlich wählen, was Sie möchten, während Ihr Code ausgeführt wird. Es gibt zwar einige Dinge, die Apple tun kann, um uns alle noch sicherer zu machen (z täglich. Solltest du auch nicht.