Mac befallen laut Telekom Abuse-Team: Wie APT und xcodeghost erkennen & entfernen?
 

Hallo liebe Forumsteilnehmer und Experten,

mein Mac (ja, richtig, ein Mac) scheint befallen zu sein mit Schadsoftware.
Dies geht aus zwei offiziellen Infomails des Deutsche Telekom Abuse-Team hervor, die ich erhalten habe. Nach Rückfrage sind diese auch echte Mails mit Hinweisen, also scheint da wirklich was auf meinem Mac zu werkeln, was da nicht hingehört.

Problem: Die Telekom Techniker konnten nur die Infektion feststellen, aber keine Empfehlung zur Behebung geben. Es wird einzig der Name der Bedrohung aufgelistet und diese Empfehlung ausgesprochen:

+++

1. Bitte stellen Sie sicher, dass Ihr Computer frei von Viren und
Trojanern ist. Verwenden Sie hierzu bitte eine Schutzsoftware Ihrer
Wahl.

2. Ändern Sie dann alle Passwörter:

- das 'Persönliche Kennwort' (für die Einwahl ins Internet)
- das 'Passwort' (für das E-Mail- und Kundencenter)
- das 'E-Mail-Passwort' (für E-Mail Programme, wie z. B. Microsoft
Outlook)

für die Dienste der Deutschen Telekom. Dies können Sie zentral im
Kundencenter unter https://kundencenter.telekom.de tätigen. Vergessen
Sie nicht etwaige Passwörter für Onlinebanking, eBay, Amazon, Paypal
und so weiter, falls Sie solche Dienste nutzen.

3. Bitte prüfen Sie auch die Einstellungen Ihres Computers, ob das
Betriebssystem und die installierte Software aktuell sind.

Die Reihenfolge ist wichtig, da die neuen Passwörter sonst direkt
wieder von Dritten ausgelesen werden könnten, wenn eine vorhandene
Schadsoftware nicht zuvor entfernt wurde. Wenn Sie hierbei
Unterstützung benötigen, erreichen Sie uns von Montag bis Freitag von
08:00 Uhr bis 18:00 Uhr direkt unter der kostenfreien Rufnummer 0800
5544 300. Halten Sie hierzu Ihre Abuse-ID und Zugangsnummer, welche Sie
im Betreff finden, bereit.

...

Auf unserer Seite https://abusefaq.telekom.de/faq.html haben wir Ihnen viele
hilfreiche Tipps und Links zum Thema "Sicherheit" zusammengestellt.

+++

Tja, und da ich am Mac arbeite, ist diese FAQ leider nur bedingt hilfreich:
- Die Empfehlung für den EU-Cleaner von botfrei scheidet aus, da dieser nur für PC erhältlich zu sein scheint: https://www.botfrei.de/telekom/
- Die Software Malwarebytes for MAC sucht anscheinend eher nach Adware: https://de.malwarebytes.org/antimalware/mac/

Nur: Mein Mac zeigt keinerlei Leistungseinbuße oder unnormales Verhalten.
Bevor ich daher wild weitere Software "teste" frage ich hier im Forum lieber mal nach.

Meine Fragen:
Welche Bedrohung geht von APT und xcodeghost aus?
Wie erkenne ich diese Schadsoftware?
Wie entferne ich sie, also mit welchen Tools?
Was sollte ich nach der Entfernung weiter tun?
Wie kann ich einem erneuten Befall vorbeugen?

Danke Euch für hilfreiche Hinweise.

Grüße
D-O-M

zu xcodeghost wird übrigens hier bereits diskutiert:

XcodeGhost: Apple veröffentlicht "Top 25" de? | Forum - heise online

Der davon angerichtete Schaden scheint eher gering zu sein. Aus der Liste der verdächtigen Apps findet sich auf meinem Rechner auch keine.

hxxp://www.heise.de/forum/Mac-i/News-Kommentare/XcodeGhost-Apple-veroeffentlicht-Top-25-der-infizierten-Apps/forum-246635/

hier wir bereits zu xcodeghost diskutiert.

Der durch diese Schadsoftware angerichtete Schaden scheint sich aber sehr in Grenzen zu halten.

Hi,


EtreCheck Log

1. Lade dir bitte EtreCheck herunter.
2. Entpacken und Ausführen
3. Entferne in dem Start-Fenster alle Haken und klicke Start EtreCheck.
4. Nach Abschluss erscheint das Fenster mit dem Log. Klicke oben links auf den Button Share Report und anschließend Copy Report to Clipboard.
5. Das Log befindet sich nun in der Zwischenablage (Clipboard). Füge den Inhalt mit Command-V hier in dein Thema ein. Bitte in Code-Tags siehe unten.

EtreCheck Auswertung
 

Hallo Dante12,

danke für die schnelle Antwort.
Hier das Ergebnis von EtreCheck:

Nichts deutet auf eine Infektion hin.

Vorab eine Frage: Bist du Entwickler und schreibst Programme mit Xcode? Wenn nicht, hast du keine Möglichkeit zu prüfen welche Apps mit Xcodeghost infiziert sind. Die Prüfung der Apps erfolgt bereits im AppStore du kannst höchstens die Versionen prüfen (falls welche der unten im Link angezeigten apps bei dir vorhanden sind).

The list of affected apps and what you should do

Schritt 1

Prüfe folgende Verbindungen (mit LittleSnitch sollte es kein Problem sein).

Verbindungen die mit XCodeGhost geführt werden (url):

Adressen die mit XCodeGhost geführt werden (in der Regel wird die Url nicht mehr aufgelöst)

Öffne dein Terminal und gebe folgendes ein:
Gebe dein Passwort ein, kopiere anschließend die Ausgabe und füge es hier ein.
Im nachfolgenden Lauf lasse die Ausgabe ca. 30 Zeilen laufen und beende es mit CTRL + C.
Kopiere die Ausgabe und füge es ebenfalls hier ein.
Mache das bitte auch mit dem nachfolgenden Ablauf:

as requested
 

ohne zu wissen, was genau ich hier tue ... ;-)

Eingabe von sudo lsof -i brachte dieses Ergebnis:

++++

Eingabe von sudo tcpdump -i en1 -v

(sudo tcpdump -i en0 klappte nicht, da mein Rechner aktuell nicht per Ethnernet verbunden ist.)

Ausgabe:

zu Schritt 1 noch, Überprüfung von URL mit little snitch:

Da ist mir leider nicht genau klar, was ich wo wie tun soll.
Vielleicht kannst Du mir das nochmal genauer erklären?
Ich habe das Programm zwar hier, aber wie kann ich damit URL-Aufrufe überprüfen?

Danke

Im ersten Log werden alle aktuellen Verbindung angezeigt inklusive Anwendungen. Im zweiten (tcpdump) ist quasi der Live-Modus, alle aktiven Verbindung werden sofort angezeigt.

Du musst keine Url etc Prüfen. Anhand der IPs und Url die ich oben geschrieben habe, brauchst du nur bei Little Snitch nachschauen ob du dort identische Adressen findest.

Da aber deine Logs keinerlei Hinweise aufzeigen wirst du wahrscheinlich dort auch nichts finden. Ich vermute mal (wie in den meisten solcher Fälle) das die Telekom-Server gehackt wurden. Das ist ein großes Problem da weder die Telekom noch der End-User dieses Problem bisher in den Griff bekommen können.


Schritt 2

• Wenn nicht schon getan ändere dein WLAN-Schlüssel
• Wie von der Telekom beschrieben ändere alle Passwörter und Zugänge
• Melde dich von allen Apple-Diensten ab (iTunes, iCloud, iBooks, AppStore usf.)
• Besuche die Apple ID Seite, Log dich ein und ändere das Passwort und die Sicherheitsfragen falls nötig.
• Anschließend kannst du dich wieder mit dem neuen Passwort bei den Apple-Diensten anmelden.

Schritt 3

Gegencheck mit Malwarebytes

• Lade dir bitte MalwareBytes for Mac herunter.
• Öffne das DMG und verschiebe die APP in den Programm-Ordner.
• Programm starten und klicke auf Scan. Gefundene Malware wird in den Papierkorb verschoben.
• In MalwareBytes gehe in das Menü Scanner und anschliessend zu Take System Snapshot. Das Menü oben auf dein Bildschirm siehst du nur wenn die Anwendung aktiv ist.
• Kopiere den Inhalt des Fensters und füge es hier ein. Wenn möglich in Code-Tags siehe unten

Hallo Dante,

ich bin alle Schritte durchgegangen.

MalwareBytes hat nichts gefunden
Die Funktione "Take Snapshot" jedoch blieb ohne Wirkung. Nach Klick darauf passierte (vordergründig) nichts ...

Gutes Zeichen? Oder ein Fehler?
Ich habe die aktuellste Version für mein System installiert.

Danke bisher auf jeden Fall.

Normalweise dauert es eine Weile und dann erscheint ein Fenster mit dem Log. Versuche es nochmal bitte. Denk dran nicht den "Button" Scanner sondern oben in der Menüleiste unter "Scanner -> Take System Snapshot".

Heute kein Snapshot für Dich
 

Hallo Dante,

ich habe leider keinen Snapshot ... Zweimal habe ich den Mac ca. 1h laufen lassen, ohne dass sichtbar irgendwas passierte oder ein Snapshot erschien. Wird der evtl. irgendwo einfach abgespeichert ohne sichtbares Feedback?

Danke für Deine Hilfe
D-O-M

Erklär doch bitte was du genau gemacht hast Schritt für Schritt.

Hat Malwawerbytes bei den Scan was gefunden?

Malwarebytes hat nichts gefunden
 

Was ich gemacht habe:
- Ins Adminkonto meines Rechners gewechselt (ich nutze zwei Konten)
- Malwarebytes heruntergeladen und installiert als Admin
- Programm aufgerufen, dabei hat MW zuerst seine Siganturen aktualisiert
- Im Bedienfenster auf SCAN geklickt (nicht in der Menüleiste)
-> Scan läuft durch und sagt: Nix gefunden (siehe Screenshot)
- Im Menü >Scanner>Take System Snaphot aufgerufen
- Gewartet …
- Gewartet …
- Gewartet …
- …

So weit bin ich also.

Für den Scan musst du das Konto benutzen mit dem du immer arbeitest. Versuche dann den Snapshot nicht mit deinem Admin-Konto auszuführen.

1.) Kann ich mir nicht vorstellen, das Du einen Infekt auf dem MAC hast.
2.) Es gab mal eine kurze Zeit, im Telekom-Bereich eine Standard Email vom Abuse Team die gefälscht war.
3.) Kommt es dann auch darauf an, mit welcher Hotline Du telefoniert hast. Meistens sitzen dort auch nur Unerfahrene und erzählen einfach was sie gehört oder gelesen haben.
4.) Und wenn ein Check des MAC's nichts gefunden hat, würde ich es als Bestätigung sehen.

Berichte bitte weiter... :)

Zweiter Scan auch ergebnislos
 

Hallo Dante12, hallo weberchen,

ich vergaß zu erwähnen, dass ich den Scan auch mit dem “normalen“ Benutzerkonto wiederholt hatte - mit dem gleichen Ergebnis: Weder Scan noch TakeSnapshot haben irgendwas Relevantes angezeigt.

Ich danke also an der Stelle für Euren unermüdlichen Einsatz und schließe meine Anfrage. Die Mails der Telekom scheinen ohne erkennbaren Grund oder reale Bedrohung ausgesendet worden zu sein. Verwunderlich in dem Zusammenhang bleibt nur der Abstand der beiden Mails. Scheint fast so, als ob die Telekom öfter mal “gehakt“ würde …

Einen schönen Sonntag Euch noch
D-O-M

Alles Klar :daumenhoc

Falls es noch Probleme gibt bitte Melden.

Wenn du MBAM und EtreCheck deinstallieren möchtest siehe unten. Möglich das einige dort aufgeführte Einträge nicht vorhanden sind - ist aber ok.