Dipl.-Inform. Carsten Eilers

Erst mal stimmt das nur, wenn man mit dem "Mac" das aktuelle Mac OS X meint, denn für das klassische Mac OS gab es sehr wohl Viren. Die Aussage "Für Mac OS X gibt es keine Viren" ist allerdings in der Tat wahr. Aber so was besonders ist das nicht, denn Viren, d.h. Dateien infizierende Schädlinge, sind schon seit einigen Jahren aus der Mode gekommen. Das es für Mac OS X keine Viren gibt, liegt also weniger daran, dass es so schwierig ist, welche zu schreiben, als viel mehr an der Tatsache, dass generell kaum noch Viren geschrieben werden. Wozu auch, wenn die Cyberkriminellen ihre Ziele mit Drive-by-Infektionen und Trojanern viel leichter erreichen?

Weiter geht es dann z.B. mit

Mythos 2: "Solange der Benutzer aufpasst, kann nichts passieren"

Oft wird das auch präzisiert: "Solange der Benutzer nur vertrauenswürdige Seiten besucht und keine unbekannten Programme installiert, besteht keine Gefahr"

Fangen wir mit dem zweiten Teil des Mythos an, mit dem wohl gemeint ist: Solange der Benutzer nicht selbst einen Trojaner installiert, besteht keine Gefahr. Erst mal ist diese Aussage sicher richtig, nur zeigen die oft sehr erfolgreichen Trojaner sehr deutlich, dass es genug Benutzer gibt, die auf die Social-Engineering-Tricks hereinfallen, mit denen sie zur Installation der Trojaner verleitet werden sollen.

Im Fall der aktuellen Flashback-Version ist die Aussage sogar falsch. Die ersten Flashback-Versionen waren in der Tat Trojaner, die sich als Flash-Player-Installer tarnten. Gab der Benutzer das Administrator-Passwort nicht ein, konnte der Trojaner nichts ausrichten und die Infektion schlug fehl.
Die aktuelle Version ist dagegen eine Drive-by-Infektion: Wenn die Aufforderung zur Eingabe des Administrator-Passworts kommt, wurde der erste Schadcode bereits ausgeführt. Gibt der Benutzer das Administrator-Passwort nicht ein, wird die Schadsoftware trotzdem installiert, nur eben weniger tief im System verankert als mit erschlichenen Admin-Rechten. Und es dürfte nicht lange dauern, bis die Cyberkriminellen auf die verdächtige Abfrage des Administrator-Passworts verzichten und ihren Schadcode unbemerkt vom Benutzer einschleusen.

Womit wir beim ersten Teil dieses Mythos wären: Der Besuch vertrauenswürdiger Seiten schützt vor Schadsoftware. Sorry, die Zeiten sind seit einigen Jahren vorbei. Inzwischen werden Drive-by-Infektionen auch über eigentlich vertrauenswürdige Seiten verbreitet. Entweder, weil die betreffenden Server kompromittiert wurden, oder weil der Code für die Drive-by-Infektion z.B. über manipulierte Ad-Server eingeschleust wurde. Besucht ein Benutzer eine entsprechend präparierte Seite und verwendet er ein angreifbares Programm, im aktuellen Fall eben die inzwischen veraltete Java-Installation, wird sein Rechner mit der Schadsoftware infiziert. Eine Aktion des Benutzers ist dafür nicht notwendig. Daher ja auch der Name "Drive-by-Infektion": Die Infektion erfolgt quasi im vorbeisurfen.

Und auch Trojaner werden nicht mehr ausschließlich über "nicht vertrauenswürdige Seiten" (wie auch immer man die definieren will) verbreitet. Die Zeiten, zu denen Fake-Codecs etc. über Sexseiten und ähnliches verbreitet wurden, sind auch schon wieder einige Zeit vorbei.

Mythos 3: "Das ist alles Panikmache der Antiviren-Hersteller..."

"... damit die ihre Programme verkaufen können". Und das haben sie dann wohl so gut gemacht, dass sogar Apple darauf rein gefallen ist und Java-Updates und Removal-Tools für den Schadcode veröffentlicht hat? Nichts gegen Verschwörungstheorien, aber wenn, dann doch bitte eine mit etwas mehr Piff. Wie wäre es mit "Elvis lebt und arbeitet inzwischen als Virenprogrammierer für [Lieblings-Antivirenhersteller]"? Und wenn man Flashback auf eine CD brennt und die rückwärts abspielt, hört man "Jailhouse Rock"!

Übrigens löscht Apples Removal-Tool nicht alle Flashback-Varianten, sondern nur "...the most common variants of the Flashback malware." Welche das sind, verrät Apple nicht. Aber diese Information wäre sowieso nicht besonders hilfreich, da die Antivirenhersteller sowieso keine einheitlichen Namen verwenden. Eine manuelle Kontrolle oder auch ein zusätzlicher Scan mit dem Virenscanner des geringsten Misstrauens kann also nichts schaden. Es muss ja kein kostenpflichtiger Scanner sein, von einigen Hersteller gibt es die nicht einmal.

Es gibt auch kostenlose Removal-Tools von Antivirenherstellern, z.B. von F-Secure und Symantec. Außerdem kann Flashback manuell entfernt werden.
Kaspersky musste sein Removal-Tool zwischenzeitig wieder zurückziehen, da es Benutzereinstellungen löschen konnte.

Und um noch mal auf den Mythos der Panikmache der Antiviren-Hersteller zwecks Verkaufsförderung der eigenen Produkte zurück zu kommen: Zumindest ein Antivirenhersteller gibt sich nicht gerade Mühe, diesem Verdacht entgegen zu wirken. Integos angekündigte "Free Software for Detecting All Variants of Flashback Malware" ist kein kostenloses Removal Tool, sondern entpuppt sich als die "30-day free trial"-Version des eigenen Virenscanners. Und dann wundern die sich, dass das Misstrauen weckt?

Mythos 4: "Flashback hat ja gar keinen Schaden angerichtet"

In der Tat sieht es so aus, als hätte Flashback keinen Schaden angerichtet. Aber das täuscht, denn der Schadcode enthält durchaus mehr Schadfunktionen als nur den Download weiteren Codes. Wobei das schon die schlimmstmögliche Form von Schadcode ist, da darüber jederzeit beliebiger weiterer Code eingeschleust werden kann. Übrigens hat die Software daher auch ihren Namen bekommen: Die ersten Versionen tarnten sich als Flash-Player-Installer und enthielten eine Backdoor.

Aber zurück zu den weiteren Schadfunktionen:

• Laut F-Secure manipuliert Flashback angezeigte Webseiten: "... on successful infection, the malware modifies targeted webpages displayed in the web browser."
• Laut Symantec sammelt der Schädling ungenannte vertrauliche Informationen: "Gathers information from the computer."
• Laut Intego wird der Netzwerkverkehr nach Benutzernamen und Passwörtern durchsucht: "... sniffing network traffic in search of user names and passwords."
• Sophos berichtet gleich von zwei Payloads, dem Ausspähen von Zugangsdaten und dem Umleiten von Suchmaschinenergebnissen: "One is a data stealing Trojan that attempts to steal passwords and banking information from Safari. The other appears to do search engine redirection, presumably to perform advertising fraud or direct victims to further malicious content."
• Bei ESET ist man sich aber nicht sicher, ob nun Passwörter ausgespäht oder Webseiten manipuliert werden sollen: "It hooks the system functions responsible for communication and is in a position to alter web pages and spy on users’ internet activity and behaviour. It is still unclear to us if this spying is used to display unsolicited advertisements in the browser of infected computers or to steal information."

Aber egal ob das Botnet nun Daten ausspäht oder Webseiten manipuliert oder beides macht, es macht auf jeden Fall mehr als nichts. Aber vielleicht sind die Urheber des Mythos auch enttäuscht, dass ein infizierter Mac keine Symptome wie vom Bildschirm purzelnde Zeichen o.Ä. zeigt. Aber die Zeit solcher "Spass-Schädlinge" ist seit langem vorbei. Willkommen im 21. Jahrhundert, hier schmeißen die Cyberkriminellen nicht mit virtuellem Konfetti um sich, sondern arbeiten heimlich, still und leise daran, den Benutzern zu schaden.

Mythos 5: "Der eine, einzelne Schädling ist eine Ausnahme ..."

"... und kein Problem, da Apple so schnell reagiert hat". Erst mal hat Apple nicht schnell reagiert, und dann auch noch teilweise falsch: Einer der vom Netz genommenen Command&Control-Server war von Doktor Web zum Sinkholing des Botnets registriert worden.

Und dann war Flashback mit Sicherheit nur der Anfang, weitere Drive-by-Infektionen werden folgen. Von gezielten Angriffen ganz zu schweigen. Übrigens berichten sowohl Sophos als auch Kaspersky bereits über den nächsten Schädling: Sabpab nutzt die gleiche Schwachstelle wie Flashback, um einen Mac ohne Benutzerinteraktion im Rahmen einer Drive-by-Infektion zu infizieren und eine Backdoor zu installieren. Bisher "nur" im Rahmen gezielter Angriffe, die Opfer wurden auf präparierte Seiten gelockt. Aber die nächste Schwachstelle, der nächste Exploit und die nächste über Drive-by-Infektionen verteilte Schadsoftware werden folgen. Jetzt haben die Cyberkriminellen ja gesehen, wie schnell sie so einen beachtlich großen Anteil aller Macs infizieren können.

Carsten Eilers