927852

Merkwürdiger 'Virus' für Mac-OS X

25.10.2004 | 14:30 Uhr |

Opener ist eine Sammlung von Unix-Shell-Befehlen, die unter Mac-OS X eine Reihe von Tricks ausprobiert, um den Mac für Eindringlinge zu öffnen und Kennwörter einzusammeln.

Wer Opener auf seinem Mac installiert, kann richtige Windows-Gefühle bekommen: Endlich ein richtig gefährliche Software, die mich ausspäht und meinen Rechner für andere zugänglich macht. Soweit stimmen die Warnungen vor dem "ersten Virus für Mac-OS X", die zur Zeit die Runde machen.

Die Fakten taugen nicht für allzu große Überschriften:

1. Opener verbreitet sich nicht automatisch auf andere Macs; allerdings kopiert sich die aktuelle Version 2.3.5 beim Neustart des Rechners auf alle Festplatten und Partitionen, die an den infizierten Mac angeschlossen sind. Schließt man eine solche Festplatte an einem anderen Mac an und startet den Rechner von dieser Festplatte, kopiert sich Opener auf alle Festplatten dieses Macs.
2. Opener lässt sich nur mit dem Kennwort eines Administrators unter Mac-OS X installieren. Ein anderer Infektionsweg ist bisher unbekannt.
3. Opener lässt sich relativ einfach ausmachen - ein Blick in einen Ordner (siehe Abschnitt "Gegenmaßnahmen") respektive in "Systemeinstellungen > Benutzer > Startobjekte" zeigt, ob man sich infiziert hat.

Opener ist eine Sammlung von Shell-Befehlen (als Befehlen für das BSD-Unix, das die Basis für Mac-OS X bildet), die beim Start des Mac im Hintergrund ablaufen und eine ganze Reihe von Aktionen ausführen und so Mac-OS X verwundbar machen:

1. Opener versucht, ohphone X zu installieren (eine Software für Videokonferenzen ).
2. Opener schaltet die Firewall von Mac-OS X aus.
3. Opener versucht, das Programm Little Snitch zu beenden (eine Warnsoftware für verdächtige Internetverbindungen) oder dessen Warnmechanismus auszutricksen.
4. Opener ändert die Zugriffsrechte mehrerer Dateien, darunter die Parameterdateien für die Unix-Programme hostconfig, ssh und cron, und erlaubt dort den Zugriff für jedermann.
5. Opener öffnet den Zugriff auf Mac-OS X über das Internet-Protokoll ssh (Secure Shell).
6. Opener startet Filesharing.
7. Opener erzeugt einen versteckten Ordner mit Namen ".info" im obersten Verzeichnis von Mac-OS X (nicht auf dem Schreibtisch, sondern unter "/.info"), der später in den den Ordner "Öffentlich" (auf Englisch "Public") innerhalb eines jeden Benutzerordners kopiert wird und dort über Filesharing leicht zugänglich ist.
8. Anschließend wird eine enorme Menge von Informationen im .info-Ordner gespeichert, darunter die Version des Betriebssystems, der Rendezvous-Name des Macs und die IP-Adresse. Zusätzlich Infos verschiedener Programme zum Beispiel die Registrations-Infos aller Adobe-Programme, aller Microsoft-Office-Produkte und aller Macromedia-Software. Sogar die Notizzettel von Mac-OS 9 werden kopiert.
9. Opener legt den Benutzer "LDAP-daemon" an.
10. Opener versucht, das Passwort-Knackprogramm John the Ripper, kurz: jtr, im Ordner /Library/Preferences/jtr zu installieren.
11. Opener versucht, das Lauschprogramm dsniff im Ordner /Library/Preferences/dsstart zu installieren. dsniff versucht Kennwörter im Klartext auszuspähen und in einer Textdatei zu speichern.
12. Opener versucht OSXvnc zu installieren, eine Software, mit der man einen Mac fernsteuern kann.
12. Zum Schluß versucht Opener seine Spuren in verschiedenen Log-Dateien zu verwischen.

Die Liste der unangenehmen Befehle ist lang, doch wie die folgenden Abschnitte zeigen, lässt sich das Skript mit einigen Befehlen wieder löschen, ohne dass Hintertüren offen bleiben.

0 Kommentare zu diesem Artikel
927852