Proton: Was sich gegen den macOS-Trojaner im Elmedia Player tun lässt

October 29, 2017 - 3:24 pm in Security

[ad_1]

In zwei beliebten Shareware-Apps wurde eine kurze Zeit lang eine Malware mitgeliefert. Mac & i zeigt, wie der Nutzer sie (hoffentlich) loswird.

Der macOS-Datenschädling Proton ist ein tückisches Stück Software: Die Malware kann höchst sensible Daten vom Rechner absaugen und sich zudem auch nachträglich verändern. Außerdem wird sie über sogenannte Supply-Chain-Angriffe verteilt: Den Erstellern ist es gleich mehrfach geglückt, Server von Anbietern bekannter Mac-Apps zu hacken, um den Trojaner darin zu verstecken. Das klappte beim beliebten Open-Source-Videoencoder Handbrake im Mai ebenso wie am 19. Oktober bei zwei Produkten des Shareware-Anbieters Eltima, dem Medienabspieler Elmedia Player und dem Downloadmanager Folx.

Wie man Proton erkennt

Wer sich Proton einmal eingefangen hat, wird die Malware nur noch mit Mühe los. Betroffene sollten zunächst überprüfen, ob der Schädling wirklich bei ihnen läuft. Bei Elmedia Player und Folx sollen nur Nutzer betroffen sein, die den Download an besagtem 19. Oktober vor 21.15 Uhr MEZ getätigt haben.

Ist die in der Eltima-Software steckende Variante von Proton auf der Maschine, ist dies daran erkennbar, dass ein Hintergrundprozess namens “updateragent” läuft. Dies lässt sich über die Aktivitätsanzeige überprüfen. Im System tief verankern konnte sich Proton zudem nur dann, wenn der Nutzer mithilft: Im Rahmen der Installation von Elmedia Player oder Folx wurden User zur Eingabe ihres Administrationspassworts (siehe Bild) aufgefordert.

Entfernung kann mühsam sein

Zur Proton-Entfernung sollte zunächst der Prozess “updateragent” beendet werden. Dies ist über die Aktivitätsanzeige (X-Knopf) möglich. Dann sollte man die Hauptanwendung von Elmedia Player beziehungsweise Folx löschen (im Anwendungsverzeichnis) sowie den von Proton installierten LaunchAgent, der dafür sorgt, dass der Schädling sich stets neu startet. Er liegt im Verzeichnis “Library” unter “LaunchAgents” und heißt “com.Eltima.UpdaterAgent.plist”.

Anschließend muss verschiedene von Proton platzierte unsichtbare Dateien loswerden. Unter macOS Sierra und macOS High Sierra ist hierzu zunächst im Finder die Tastenkombination Apfel+Shift plus “.” (Punkt) zu drücken. Bei älteren macOS-Versionen muss der Nutzer einen kurzen Ausflug ins Terminal unternehmen, um unsichtbare Dateien im Finder anzeigen und löschen zu können. Eine Anleitung dazu findet sich hier.

Die bislang bekannten versteckten Proton-Dateien beziehungsweise Verzeichnisse, die dringend gelöscht werden sollten, lauten:

  • /tmp/Updater.app/
  • /Library/.rand/
  • /Library/.rand/updateragent.app/

Ist die Anzeige unsichtbarer Dateien aktiviert, lassen sie sich einfach auffinden und in den Papierkorb ziehen. Dieser wird dann geleert. Anschließend sollte der Rechner von Proton befreit sein.

Allerdings lässt sich dies nicht mit hundertprozentiger Sicherheit sagen. Der Grund: Proton ist als Trojaner von seinen Entwicklern fernsteuerbar – beziehungsweise war es, solange der dafür benötigte Command & Control-Server aktiv ist. So konnten auf dem infizierten Mac beliebige Dateien kopiert, gelöscht, angelegt oder hochgeladen, zudem der Rechner durchsucht sowie Dateien aus der Ferne ausgeführt werden. Auch ein direkter Zugang zur Maschine mittels SSH-Tunnel ist vorgesehen.

Malware-Entwickler könnten “nachgeladen” haben

Entsprechend besteht beziehungsweise bestand die Möglichkeit, dass die Proton-Macher noch weiteren bösen Code auf die betroffenen Maschinen einschleusen konnten. Das Sicherheitsunternehmen ESET, das Proton als erstes in den Eltima-Apps nachgewiesen hatte, empfiehlt denn auch, betroffene Rechner komplett neu aufzusetzen – und mit einem hoffentlich vorhandenen Back-up zu bespielen, das aus der Zeit vor der Infektion stammt. Sollte das Medium, auf dem es lagert, mit dem infizierten Rechner verbunden gewesen sein, könnte aber auch dieses kompromittiert worden sein – selbst wenn dies unwahrscheinlich ist. Gleiches gilt für angeschlossene iOS-Geräte oder andere im Netzwerk vorhandene Macs und/oder PCs. Auch hier wäre eine Kompromittierung denkbar, wenn auch unwahrscheinlich – zumindest gibt es keine entsprechenden Berichte.

Betroffene Nutzer sollten darüber hinaus dringend alle wichtigen Passwörter ändert – inklusive dem der Apple-ID. Proton saugt neben Kryptowährungs-Wallets auch noch die Schlüsselbunddatenbank (Keychain), GnuPG-Informationen, VPN- und SSH-Zugänge sowie die Datenbank des beliebten Passwortmanagers 1Password ab. Apple hat mittlerweile das Entwicklerzertifikat zurückgezogen, mit dem die jüngste Inkarnation von Proton auf dem Mac ausführbar wird. (bsc)

[ad_2]

Read more on: Source

Internet of Things: RIPE startet IoT-Arbeitsgruppe

October 28, 2017 - 11:29 pm in Internet

[ad_1] [ad_2] Read more on: Source

JavaScript: Ebay überträgt die Marko Library an die JS Foundation

October 28, 2017 - 10:49 pm in OSS

[ad_1] [ad_2] Read more on: Source

iPhone X: Xcode-Update erlaubt Simulation

October 28, 2017 - 10:30 pm in Software-Entwicklung

[ad_1] Entwickler können ab sofort Xcode 9.0.1 herunterladen, um ihre Apps für das neue Gerät zu testen. Zudem übertreffe die Nachfrage nach dem iPhone X alle Erwartungen, meldet Apple. Das Xcode-Update erlaube Entwicklern, im Simulator die Funktion ihrer…

McAfee stoppt Einblick in den Quellcode

October 28, 2017 - 10:21 pm in Security

[ad_1] Der amerikanische Antivirenspezialist gibt im Rahmen eines grundsätzlichen Strategiewechsels seit einiger Zeit fremden Regierungen keinen Zugang mehr zum Quellcode. [ad_2] Read more on: Source

FluxPort: Kabelloses Laden für dein Smartphone mit Fluxy und mehr

October 28, 2017 - 9:52 am in Deutsche Startups

[ad_1] FluxPort bringt kabelloses Laden direkt zu dir nach Hause – und das sogar in verschiedensten Formen und Variationen. Das eigene Smartphone oder Tablet begleitet einen über den gesamten Tag. Während das Tablet meist noch etwas seltener genutzt wird,…

Gigabit-Internet: Deutsche Telekom startet Feldversuch für G.fast-Technik

October 28, 2017 - 5:27 am in Internet

[ad_1] [ad_2] Read more on: Source

#TGIQF – das Linux-Quiz: vom Studentenprojekt zum Microsoft-Schreck

October 28, 2017 - 4:48 am in OSS

[ad_1] [ad_2] Read more on: Source

Developer Snapshots: Programmierer-News in ein, zwei Sätzen

October 28, 2017 - 4:25 am in Software-Entwicklung

[ad_1] heise Developer fasst jede Woche bisher vernachlässigte, aber doch wichtige Nachrichten zu Tools, Spezifikationen oder anderem zusammen – dieses Mal u.a. mit Facebook F8, GCC, Google Code-in, Eclipse Papyrus und dem endgültigen Aus von Firebug.…

Sichere Anwendungsautorisierung: ownCloud führt OAuth 2.0 ein

October 28, 2017 - 4:20 am in Security

[ad_1] Die Cloud-Software ownCloud setzt künftig auf das OAuth-2.0-Protokoll, um Geräten und Anwendungen den tokenbasierten Zugriff auf Nutzerdaten zu ermöglichen. ownCloud, eine freie Cloud-Software für das Filehosting auf eigenen Servern, unterstützt…