FAUmac

der Blog des FAUmac-Teams

Inhalt

Verschlüsselungstrojaner nun auch für den Mac

Bisher konnten sich Nutzer eines Macs meist enstpannt zurücklehnen, wenn die einschlägigen Nachrichtenportale vor neuen Würmern, Viren oder Trojanern warnten. Doch die Zeiten sind spätestens seit dem Flashback-Trojaner von 2012 vorbei. Denn ein OS X ist – auch wenn Apple sich vor allem mit der in 10.11 eingeführtem System Integrity Protection redlich Mühe gibt – nicht sicherer als ein aktuelles Windows. Der größte Unterschied liegt in der Verbreitung der Systeme – klar dass ein Virenschreiberling sich erstmal das System mit > 90% Marktanteil vornimmt, bevor er sich den Mac genauer ansieht. Das hat über Jahre zu dem Trugschluss geführt, dass es für den Mac keine Viren gibt und viele Nutzer sind daher nicht besonders vorsichtig, wenn sie Software aus dem Internet auf ihrem Mac ausführen. Es kann ja eh nix passieren.

KeRanger

Vergangene Woche gab es einen Angriff auf die Webseite der Bittorrent-Software Transmission. Dabei wurde die dort zum download angebotene der Software so manipuliert, dass zusätzlich auch der Verschlüsselungstrojaner KeRanger mit installiert wurde. Besonders ärgerlich dabei: der Mac konnte nicht einmal warnen, denn die manipulierte Software war mit einem gültigem und von Apple ausgestelltem Zertifikat unterschrieben. Das Zertifikat war zwar nicht für die Entwickler der Software Transmission ausgestellt, sondern für eine Firma mit dem Namen POLISAN BOYA SANAYI VE TICARET ANONIM SIRKETI. Nur kann der Mac ja nicht wissen, vom wem die Software legitimer weise erstellt wurde und kaum ein Benutzer wird das nachprüfen (ich nehme mich da gar nicht aus!). Weiterhin kann auch auf Rechnern mit OS X 10.11 die neue System Integrity Protection nicht helfen: die könnte nur ein einnisten ins Betriebssystem verhinden. Der Trojaner wird aber im Benutzerordner abgelegt und kann nicht von einem x-beliebigem Programm wie etwa Firefox oder Chrome unterschieden werden. Er tut auch erstmal drei Tage lang gar nichts um keine Aufmerksamkeit zu erregen um dann mit dem Verschlüsseln diverer Dateitypen zu beginnen. Durch die Wartezeit soll verhindert werden, dass er von Herstellern von Anti-Viren-Software bemerkt wird, bevor er eine kritische Masse an Installationen erreicht hat. Beginnt er dann drei Tage später mit dem verschlüsseln, brauchen die meisten Hersteller noch etwa 12-24 Stunden um die Virensignaturen zu aktualisieren und zu den Kunden zu verteilen. In dieser Zeit kann er so einigen Schaden anrichten – zumal oftmals kein Virenscanner auf einem Mac installiert wird.

Gefahr gebannt – vorerst

Glücklicherweise hat Apple relativ schnell auf den Hinweis der Firma Palo Alto Networks, die den Trojander entdeckt hat, reagiert und das Zertifikat des Trojaners für ungültig erklärt. OS X weigert sich nun infizierte Transmission-Versionen zu starten und rät diese zu löschen, wer aber die infizierte Version schon gestartet hatte, hat auch KeRanger noch im System.

KeRanger entfernen

Zum Glück lässt sich KeRanger einfach los werden:

  • mit der Aktivitätsanzeige nach einem Prozess kernel_service (Vorsicht: nicht kernel_task) suchen und beenden
  • Aus dem Benutzerordner unter Library die Datei kernel_service löschen.

Die bereits verschlüsselten Daten bleiben natürlich verschlüsselt und müssen aus einem Backup wiederhergestellt werden.

Und in Zukunft?

KeRanger enthält schon unfertige und noch nicht aktive Bestandteile, die auch ein TimeMachine Backup verschlüsseln sollen und so unbrauchbar machen. Man kann also davon ausgehen, dass die Software weiterentwickelt wird und vmtl. auch schwerer zu entfernen sein wird. Wer etwas sicherer sein möchte, der sollte die Backupfestplatte nach erfolgtem Backup unbedingt vom Mac trennen, denn sicher ist: KeRanger und andere werden weiterentwickelt werden und es wird immer Einfallstore geben. Sei es durch weitere Software, deren Webseite manipuliert wird oder etwa durch lücken in Webbrowser und co.