Logo von Mac & i

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.684.056 Produkten

Ben Schwan 13

Proton: Was sich gegen den macOS-Trojaner im Elmedia Player tun lässt

Proton: Was man gegen den macOS-Trojaner im Elmedia Player machen kann

Wer hier sein Passwort eingegeben hat, erlaubte Proton die Installation.

Bild: Screenshot via ESET

In zwei beliebten Shareware-Apps wurde eine kurze Zeit lang eine Malware mitgeliefert. Mac & i zeigt, wie der Nutzer sie (hoffentlich) loswird.

Der macOS-Datenschädling Proton ist ein tückisches Stück Software: Die Malware kann höchst sensible Daten vom Rechner absaugen und sich zudem auch nachträglich verändern. Außerdem wird sie über sogenannte Supply-Chain-Angriffe verteilt: Den Erstellern ist es gleich mehrfach geglückt, Server von Anbietern bekannter Mac-Apps zu hacken, um den Trojaner darin zu verstecken. Das klappte beim beliebten Open-Source-Videoencoder Handbrake im Mai ebenso wie am 19. Oktober bei zwei Produkten des Shareware-Anbieters Eltima, dem Medienabspieler Elmedia Player und dem Downloadmanager Folx.

Anzeige

Wer sich Proton einmal eingefangen hat, wird die Malware nur noch mit Mühe los. Betroffene sollten zunächst überprüfen, ob der Schädling wirklich bei ihnen läuft. Bei Elmedia Player und Folx sollen nur Nutzer betroffen sein, die den Download an besagtem 19. Oktober vor 21.15 Uhr MEZ getätigt haben.

Ist die in der Eltima-Software steckende Variante von Proton auf der Maschine, ist dies daran erkennbar, dass ein Hintergrundprozess namens "updateragent" läuft. Dies lässt sich über die Aktivitätsanzeige überprüfen. Im System tief verankern konnte sich Proton zudem nur dann, wenn der Nutzer mithilft: Im Rahmen der Installation von Elmedia Player oder Folx wurden User zur Eingabe ihres Administrationspassworts (siehe Bild) aufgefordert.

Zur Proton-Entfernung sollte zunächst der Prozess "updateragent" beendet werden. Dies ist über die Aktivitätsanzeige (X-Knopf) möglich. Dann sollte man die Hauptanwendung von Elmedia Player beziehungsweise Folx löschen (im Anwendungsverzeichnis) sowie den von Proton installierten LaunchAgent, der dafür sorgt, dass der Schädling sich stets neu startet. Er liegt im Verzeichnis "Library" unter "LaunchAgents" und heißt "com.Eltima.UpdaterAgent.plist".

Anschließend muss verschiedene von Proton platzierte unsichtbare Dateien loswerden. Unter macOS Sierra und macOS High Sierra ist hierzu zunächst im Finder die Tastenkombination Apfel+Shift plus "." (Punkt) zu drücken. Bei älteren macOS-Versionen muss der Nutzer einen kurzen Ausflug ins Terminal unternehmen, um unsichtbare Dateien im Finder anzeigen und löschen zu können. Eine Anleitung dazu findet sich hier.

Die bislang bekannten versteckten Proton-Dateien beziehungsweise Verzeichnisse, die dringend gelöscht werden sollten, lauten:

Ist die Anzeige unsichtbarer Dateien aktiviert, lassen sie sich einfach auffinden und in den Papierkorb ziehen. Dieser wird dann geleert. Anschließend sollte der Rechner von Proton befreit sein.

Anzeige

Allerdings lässt sich dies nicht mit hundertprozentiger Sicherheit sagen. Der Grund: Proton ist als Trojaner von seinen Entwicklern fernsteuerbar – beziehungsweise war es, solange der dafür benötigte Command & Control-Server aktiv ist. So konnten auf dem infizierten Mac beliebige Dateien kopiert, gelöscht, angelegt oder hochgeladen, zudem der Rechner durchsucht sowie Dateien aus der Ferne ausgeführt werden. Auch ein direkter Zugang zur Maschine mittels SSH-Tunnel ist vorgesehen.

Entsprechend besteht beziehungsweise bestand die Möglichkeit, dass die Proton-Macher noch weiteren bösen Code auf die betroffenen Maschinen einschleusen konnten. Das Sicherheitsunternehmen ESET, das Proton als erstes in den Eltima-Apps nachgewiesen hatte, empfiehlt denn auch, betroffene Rechner komplett neu aufzusetzen – und mit einem hoffentlich vorhandenen Back-up zu bespielen, das aus der Zeit vor der Infektion stammt. Sollte das Medium, auf dem es lagert, mit dem infizierten Rechner verbunden gewesen sein, könnte aber auch dieses kompromittiert worden sein – selbst wenn dies unwahrscheinlich ist. Gleiches gilt für angeschlossene iOS-Geräte oder andere im Netzwerk vorhandene Macs und/oder PCs. Auch hier wäre eine Kompromittierung denkbar, wenn auch unwahrscheinlich – zumindest gibt es keine entsprechenden Berichte.

Betroffene Nutzer sollten darüber hinaus dringend alle wichtigen Passwörter ändert – inklusive dem der Apple-ID. Proton saugt neben Kryptowährungs-Wallets auch noch die Schlüsselbunddatenbank (Keychain), GnuPG-Informationen, VPN- und SSH-Zugänge sowie die Datenbank des beliebten Passwortmanagers 1Password ab. Apple hat mittlerweile das Entwicklerzertifikat zurückgezogen, mit dem die jüngste Inkarnation von Proton auf dem Mac ausführbar wird. (bsc)

13 Kommentare

Themen:

Anzeige
  1. Mac-Malware Proton gibt sich als "Symantec Malware Detector" aus

    Malware

    Getarnt als Malware-Erkennung wurde der Mac-Trojaner über ein vermeintliches Symantec-Blog vertrieben. Eine über soziale Netze verbreitete Falschmeldung soll Nutzer zur Installation bringen.

  2. Mac-Shareware-Downloads mit signiertem Trojaner

    Mac-Shareware-Downloads mit signiertem Trojaner

    Die Apps Folx und Elmedia Player wurden nach einem Hack über deren Websites inklusive der "Proton"-Malware vertrieben. Der Hersteller empfiehlt eine Neuinstallation betroffener Maschinen.

  3. Mac-Version von Handbrake mit Malware verteilt

    Mac-Version von Handbrake mit Malware verteilt

    Einer der Mirror-Server des populären Open-Source-Videoencoders wurde gehackt. macOS-Nutzer sollten prüfen, ob sie sich einen Datenschädling eingefangen haben, der Passwörter entwendet.

  4. MacRansom und MacSpy: Mac-Malware kommt als Dienstleistung

    MacRansom und MacSpy: Mac-Malware kommt als Dienstleistung

    Unbekannte handeln mit zwei Malware-Tools, die auf macOS abzielen – darunter ein Erpressungstrojaner. Mac-Nutzer seien gewöhnlich gewillt, weiter über 1000 Dollar für die Entschlüsselung ihrer Dateien zu bezahlen, wirbt der Anbieter.

  1. Interview: Wie sicher sind iOS und macOS vor Angriffen?

    An der Tastatur

    Die Windows-Welt erlebt mit „WannaCry“ & Co. massive Malware-Wellen. Doch auch die Angriffe auf den Mac nehmen zu. Im Mac & i-Gespräch erklärt der renommierte Sicherheitsforscher Patrick Wardle, was Nutzern blühen könnte, wenn Apple nicht reagiert.

  2. Die Systemprozesse von macOS Sierra

    In der Hintergrundreihe „macOS intern“ blickt Mac & i seit Heft 1/2017 hinter die Kulissen von Apples Desktop-Betriebssystem. Begleitend zum dritten Teil haben wir eine umfangreiche Liste vieler Systemprozesse von macOS 10.12 samt ihrer Bedeutung zusammengetragen.

  3. Ein Heimnetzwerk einrichten - so geht's

    Netzwerk

    In einem Heimnetzwerk können alle Geräte miteinander sprechen und Daten tauschen. Das spart Zeit und Arbeit. Die Einrichtung ist simpel.

  1. Zäune am Himmel: Wie sich Firmen und Behörden gegen Drohnen wehren

    Drohne und Flugzeug

    Drohnen werden immer beliebter. In wenigen Jahren könnten mehr als eine Million unbemannter Flugobjekte durch Deutschlands Luftraum surren. Dies lässt jedoch auch das Gefahrenpotenzial wachsen - und den Markt der Drohnenjäger.

  2. Telekom-Chef hat das Jammern satt

    Timotheus Höttges, CEO der Deutschen Telekom AG (DTAG)

    Weniger Kritik, aber auch weniger Regulierung, ein breiteres Funkspektrum und viel mehr Intelligenz im Netz verlangt Deutsche-Telekom-Chef Timotheus Höttges.

  3. 4K-Beamer: Die Preise purzeln weiter

    Ultra-HD-Beamer Optoma UHD50

    Optoma hat auf der CES den 4K-DLP-Beamer UHD50 für unter 1500 US-Dollar sowie den UHD51 mit eingebautem Mediaplayer und Sprachsteuerung angekündigt, Benq den W1700.

  4. NetzDG: Facebook sperrt Karikaturisten Schwarwel

    NetzDG: Facebook sperrt Karikaturisten Schwarwel

    In seiner Zeichnung nahm Schwarwel die rassistische H&M-Werbung aufs Korn. Facebook und Instagram verstanden jedoch keinen Spaß.

Anzeige