davidak.de (Einträge über Trojaner)https://davidak.de/thema/trojaner.atom2023-07-16T17:48:44ZdavidakNikolaMac Trojaner im Umlaufhttps://davidak.de/blog/434-mac-trojaner-im-umlauf/2008-06-23T11:00:19+02:002008-06-23T11:00:19+02:00davidak<div><p>Der <strong>Trojaner für OS X</strong> tarnt sich entweder als <strong>AppleScript "ASthtv05", "AppleScript.THT"</strong> oder als Programm.
Er verbreitet sich über <strong>iChat</strong> und <strong>LimeWire</strong>.</p>
<p>Das ganze konnte durch eine <strong>Sicherheitslücke im Apple Remote Desktop</strong> (ARD) realisiert werden.
Es werden Passwörter ausgelesen, Tastatureingaben mitgeschnitten und Dateifreigaben eingeschaltet.</p>
<p>Das lässt sich ganz einfach unterbinden.
</p><p><a href="https://davidak.de/blog/434-mac-trojaner-im-umlauf/?pk_campaign=feed">Weiterlesen…</a> (1 min verbleiben zum Lesen)</p></div><div><p>Der <strong>Trojaner für OS X</strong> tarnt sich entweder als <strong>AppleScript "ASthtv05", "AppleScript.THT"</strong> oder als Programm.
Er verbreitet sich über <strong>iChat</strong> und <strong>LimeWire</strong>.</p>
<p>Das ganze konnte durch eine <strong>Sicherheitslücke im Apple Remote Desktop</strong> (ARD) realisiert werden.
Es werden Passwörter ausgelesen, Tastatureingaben mitgeschnitten und Dateifreigaben eingeschaltet.</p>
<p>Das lässt sich ganz einfach unterbinden.
<!-- TEASER_END --></p>
<p>Mann muss nur dem ARD die Rootrechte entziehen, damit das Script nicht mehr gestartet werden kann.</p>
<p>Dazu muss man nur folgenden Text in das Terminal kopiert werden.</p>
<p><code>`
sudo chmod u-s /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents</code></p>
<p>Nach betätigen der ENTER-Taste musst du das Administratorpasswort eingeben.
Falls du dieses nicht hast, lass es einen machen, der es hat.</p>
<p><img alt="Mac Trojaner: Lücke schliessen (Apple Remote Desktop)" src="https://davidak.de/images/terminal_ard_exploit.jpg"></p>
<p>Ich hab das natürlich gleich gemacht, da ich ungefähr einmal die Woche iChat benutze.
Apple wird bestimmt bald ein Sicherheitsupdate veröffentlichen, der die Lücke schliesst.</p>
<p>Bis dahin sollte einem mit dieser Lösung geholfen sein.</p>
<p>Via: <a href="http://www.mactechnews.de/news/index.html?id=141419">MacTechNews</a>, <a href="http://www.heise.de/newsticker/Root-Exploit-fuer-Mac-OS-X--/meldung/109735">heise.de</a>, <a href="http://www.fscklog.com/2008/06/ardagent-schwac.html"><strong>fsck</strong>log</a>, <a href="http://eumel59.de/?p=2307">Eumel blogt</a>, <a href="http://www.macvillage.de/blog/2008/06/20/root-exploit-im-ardagent/">MacVillage</a>, </p></div>