©2015
Am Anfang stand – wie so oft – eine kleine Denksportaufgabe: Ist es machbar, eine Datei zu konstruieren, die das Mac-Betriebssystem als MP3-Datei und als Programm anzeigt? Einige Woche später sollte aus dieser kleinen Programmieraufgabe eine Nachricht werden, die sich extrem schnell um den Globus verbreitete: “Erster Virus für Mac-OS X aufgetaucht” lautet nur eine der missglückten Interpretationen, die nach einer halbwahren Virenwarnung von Intego entstanden. Tatsächlich ist die Sache aber längst nicht so gefährlich, wie die Schlagzeilen vermuten lassen.
Die Informatiker in der Diskussionsgruppe “comp.sys.mac.programmer.misc” nahmen im Februar dieses Jahres die Herausforderung an. Ziel war zu beweisen, dass ein bösartiger Virenschreiber auf dem Mac wahrscheinlich MP3-Dateien verwenden würde, um ein schädliches Programm zu verbreiten. Denn Mac-Besitzer seien es gewohnt, dass man MP3-Audiodateien mit einem Doppelklick in iTunes öffnen und abspielen könne. Wenn man es nun schaffe, in der MP3-Datei ein Programm zu verbergen, dann werde durch den Doppelklick dieses Programm gestartet und wenn das Programm zum Beispiel Befehle enthielte, die die Festplatte löschen oder wichtige Dateien überschreiben, dann werden diese Befehle nach dem Doppelklick ausgeführt.
Es sollte nur bis zum 20. März 2004 dauern, um diesen Beweis zu erbringen. Der schwedische Programmierer Bo Lindbergh veröffentlichte an diesem Tag die komprimierte Datei “virus.mp3.sit” ( zu finden über das Diskussionsarchiv von Google ). Stolze dreieinhalb Wochen später meldet Intego, dass die Antivirensoftware Virus Barrier jetzt in der Lage sei, diesen MP3-Virus zu erkennen. Die dazugehörige Meldung enthält allerdings mehrere Halbwahrheiten, die in den folgenden Tagen die Nachrichtenticker in den Mac-Zeitungen zum Glühen bringen.
Wer die inzwischen veröffentlichten Berichte über den “MP3Concept-Virus” zusammensetzt, erkennt, dass die Gefahr längst nicht so groß ist, wie Intego in der ersten Meldung behauptet.
Erstens enthält der angebliche Virus von Bo Lindbergh kein Programm, das Schaden anrichtet (allerdings können andere Programmierer mit seinen Informationen relativ schnell einen schädlichen Virus einbauen). Zweitens lässt sich das Programm in der MP3-Datei nur über Internet verbreiten, wenn man es verpackt , zum Beispiel in einem Stuffit-Archiv oder in einer Mac-Binary-Datei beziehungsweise als Binhex-Anhang einer Email (mit unverpackten MP3-Dateien funktioniert der Trick von Bo Lindbergh nicht). Drittens ist man unter Mac-OS 9 und Mac-OS X vor dem Virus gefeit, wenn man sich angewöhnt, eine MP3-Datei nicht mit einem Doppelklick zu öffnen , sondern sie auf das Symbol von iTunes beziehungsweise einer anderen MP3-Abspielsoftware zu ziehen (kann iTunes die Datei nicht abspielen, sollte man größte Vorsicht walten lassen, da dies ein Hinweis auf eine virenversuchte MP3-Datei sein kann).
Wer es genauer wissen will, findet im US-Magazin “Macintosh Daily Journal” von Matt Deatherage genauere Informationen. Bo Lindbergh hat in seinem Beweis einen Trick verwendet, der seit 1994 machbar ist: Er verwendet “Code Fragment Manager”, einen Teil des Betriebssystems, der seit System 7.1.2 dazu gehört und in Mac-OS X in dem Hilfsprogramm “LaunchCFMApplication” weiterlebt. Mit Hilfe von Code Fragment Manager kann ein Programmierer ein ausführbares Programm an eine beliebige Stelle innerhalb einer Datei stellen und muss dafür nicht mehr – wie vor System 7.1.2 – das Programm in den Ressourcen-Zweig “CODE” packen. Bo Lindberghs Datei “virus.mp3.sit” ist ein gepacktes Programm, das in den ersten 64 Byte des Datenzweiges MP3-Informationen wie Titel und Autor des Musikstücks enthält, danach einen mehrere KB großen Teil “GEO” mit ausführbaren Befehlen und am Ende die MP3-Audioinformationen. In dem dazugehörigen Ressourcen-Zweig hat Lindbergh für Code Fragmentation Manager die Information untergebracht, das das Programm in Byte 65 beginnt und ein Symbol dazugepackt, das das Mac-Betriebssystem im Finder anzeigt.
Wer sich die Datei “virus.mp3.sit” aus dem Internet lädt und das komprimierte Archiv mit Stuffit Expander entpackt, erhält eine Datei, deren Namen “virus.mp3” lautet, und die im Finder mit dem Symbol von iTunes angezeigt wird. Wer allerdings die Datei auswählt und das Info-Fenster öffnet (Befehlstaste-I), sieht, dass Mac-OS 9 und Mac-OS X diese Datei als “Programm” bezeichnen. Startet man dieses Programm, analysiert der Finder beziehungsweise Code Fragment Manager den Ressourcen-Zweig und springt zu Byte 65 in der Datei. An dieser Stelle hat Bo Lindbergh die ausführbaren Befehle untergebracht, die auf dem Mac nach iTunes suchen. Wird sein Programm fündig, weist es iTunes an, die Datei “virus.mp3” zu öffnen. Da iTunes sich an dem Dateinamen beziehungsweise dessen Endung “.mp3” orientiert, öffnet es die Datei (die eigentlich ein Programm ist), findet dort in den ersten 64 Byte korrekte MP3-Informationen und spielt dann die Musik ab, die am Ende der Datei steht. Die Informationen zwischen Byte 65 und der MP3-Musik werden ignoriert, da Bo Lindbergh diesen Abschnitt als MP3-GEO-Information markiert hat (GEO = “General Encapsulated Object”) und iTunes nicht in der Lage ist, GEO-Informationen auszuwerten. Lindbergh hat es sich nicht nehmen lassen, in diesem GEO-Teil nicht nur die Startroutine für iTunes einzubauen, sondern zusätzlich Befehle untergebracht, die auf das trojanische Pferd innerhalb der Datei hinweisen.
Langer Rede, kurzer Sinn: Wer weiter ohne Virenschutz auskommen will, muss bei MP3-, PDF- und Quicktime-Dateien Vorsicht walten lassen. Lädt man solche Dateien aus dem Internet oder erhält man sie per E-Mail, sollte man sie nicht mit einem Doppelklick öffnen, sondern zuerst im Finder den Info-Dialog aufrufen. Steht dort, dass es sich um ein Programm, um eine Applikation oder um ein Classic-Programm handelt, lässt man besser die Finger davon und löscht die Datei sofort, da es sich mit größter Wahrscheinlichkeit um einen Virus handelt.
NACHTRAG : Die Open-Source-Programmierer von Open-OSX haben ein Programm entwickelt, mit dem man Dateien nach dem Download aus dem Internet prüfen kann. Wenn nötig, wird deren Inhalt in eine neue Datei kopiert, der Virus wird dabei aber deaktiviert.
Open OSX Trojan Defuser https://openosx.com/support/OpenOSX_TrojanDefuse.sit