SL mit verstecktem Trojaner?

02/01/2010 - 01:09 von gerd.muck | Report spam
Moin!

Irgendwie ist auf mein neues MacBook mit Snow Leo ein Trojaner/Virus/
Schàdling draufgekommen, der auf dem alten iBook mit Leo noch nicht da
war.

Ich benutze Little Snitch, um ein bißchen die "Ausgànge" zu überwachen.
Letztens hatte ich mir ein neues GIMP 2.6.7p1 für Intel gesaugt und die
PPC-Version entsorgt.

Wàhrend des erstmaligen Öffnens von GIMP startete X11 mit und ein
Bestandteil von X11, nàmlich xinit (/usr/X11/bin/xinit) telefonierte
nach draußen zu einem Server namens www.stopislam.info, den ich
garantiert nie zuvor besucht hatte.

http://i50.tinypic.com/3340nde.jpg

Ich mußte xinit mit dem Aktivitàtsmonitor abschießen, weil er trotz
Sperrung in Little Snich stàndig neu zum Server www.stopislam.info
anrufen wollte.

Anfangs dachte ich, xinit oder GIMP seien irgendwie verseucht. Letztens
installierte ich aber eine neue Version von Miro, und auch hier wollte
es als erstes wieder zu www.stopislam.info telefonieren.

Nun habe ich mal geschaut und festgestellt, daß www.stopislam.info tot
ist (Unable to connect). Wie

http://stoppislam.blogspot.com/2009...minfo.html

schreibt, ist www.stopislam.info im Februar 2009 einem DDOS-Attack zum
Opfer gefallen.

Da scheint sich jemand Mühe gegeben zu haben, um auch für OSX einen
Trojaner zu schreiben, der vermutlich noch heute www.stopislam.info
bombt und der offenbar auf meinem Mac sein Unwesen treibt.

Wo kann ich da suchen?

Gerd
 

Lesen sie die antworten

#1 Marcus Jodorf
02/01/2010 - 05:27 | Warnen spam
Gerd Muck schrieb:

Irgendwie ist auf mein neues MacBook mit Snow Leo ein Trojaner/Virus/
Schàdling draufgekommen, der auf dem alten iBook mit Leo noch nicht da
war.



Jaja, die Welt ist schlecht und pöse Purchen lauern überall.

Ich benutze Little Snitch, um ein bißchen die "Ausgànge" zu überwachen.
Letztens hatte ich mir ein neues GIMP 2.6.7p1 für Intel gesaugt und die
PPC-Version entsorgt.

Wàhrend des erstmaligen Öffnens von GIMP startete X11 mit und ein
Bestandteil von X11, nàmlich xinit (/usr/X11/bin/xinit) telefonierte
nach draußen zu einem Server namens www.stopislam.info, den ich
garantiert nie zuvor besucht hatte.

http://i50.tinypic.com/3340nde.jpg



...vielleicht sollte man ja auch mal nachdenken, wenn einem irgendwelche
Tools etwas erzàhlen, die man offensichtlich einsetzt, ohne sie zu
verstehen. Aber Paranoia ist natürlich irgendwie mehr Zeitgeist und
hipp.

Ich mußte xinit mit dem Aktivitàtsmonitor abschießen, weil er trotz
Sperrung in Little Snich stàndig neu zum Server www.stopislam.info
anrufen wollte.



Ich geb Dir mal einen Tip:
Was bedeutet die IP 127.0.0.1?
Was hat wohl ein grundlegender Bestandteil eines _netzwerkbasierten_
Fenstersystems wie X11 mit der 127.0.0.1 zu tun, das _lokal_ etwas
darstellen will?
Port 6000 in Zusammenhang mit X11 zu googeln ist jetzt auch nicht so
wahnsinnig schwer, falls man den Zusammenhang nicht vorher kennt.

Anfangs dachte ich, xinit oder GIMP seien irgendwie verseucht. Letztens
installierte ich aber eine neue Version von Miro, und auch hier wollte
es als erstes wieder zu www.stopislam.info telefonieren.



Ja, der verdammte Rechner mit der IP 127.0.0.1 ist schon die Pest. Die
Geißel des Internets, die immer wieder auftaucht. Total gefàhrlich,
verseucht und voller pöser Purchen.

Da scheint sich jemand Mühe gegeben zu haben, um auch für OSX einen
Trojaner zu schreiben, der vermutlich noch heute www.stopislam.info
bombt und der offenbar auf meinem Mac sein Unwesen treibt.



Eiskalt erkannt. Hut ab - da wàre ich nicht so schnell drauf
gekommen. Ich muß mir wohl auch mal wie die Profis so eine geniale
Personal Firewall installieren. Ich hoffe, ich komme dann damit auch
klar und verstehe das auch.

Wo kann ich da suchen?



Bei Deinem kaputten Reverse-DNS mit vollgemülltem Cache, den jemand kurz
vor Dir in Verbindung mit der bewußten Domain verwendet hat. Den hat
sicherlich auch schon ein pöser Trojaner übernommen. Die sind ja heute
an allem schuld, weiß man ja.


Gruß,

Marcus

PS:
SCNR, aber das ist auch zu grotesk. Vergiß einfach die Warnung von LS,
gib den Zugriff auf localhost bzw. 127.0.0.1 frei, besser noch Du
verwendest keine Software, die Du nicht verstehst und nein, Du da ist
kein Trojaner auch wenn die pösen Purchen überall lauern.

Ähnliche fragen