Logo von Mac & i

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.735.556 Produkten

Ben Schwan 13

Proton: Was sich gegen den macOS-Trojaner im Elmedia Player tun lässt

Proton: Was man gegen den macOS-Trojaner im Elmedia Player machen kann

Wer hier sein Passwort eingegeben hat, erlaubte Proton die Installation.

Bild: Screenshot via ESET

In zwei beliebten Shareware-Apps wurde eine kurze Zeit lang eine Malware mitgeliefert. Mac & i zeigt, wie der Nutzer sie (hoffentlich) loswird.

Der macOS-Datenschädling Proton ist ein tückisches Stück Software: Die Malware kann höchst sensible Daten vom Rechner absaugen und sich zudem auch nachträglich verändern. Außerdem wird sie über sogenannte Supply-Chain-Angriffe verteilt: Den Erstellern ist es gleich mehrfach geglückt, Server von Anbietern bekannter Mac-Apps zu hacken, um den Trojaner darin zu verstecken. Das klappte beim beliebten Open-Source-Videoencoder Handbrake im Mai ebenso wie am 19. Oktober bei zwei Produkten des Shareware-Anbieters Eltima, dem Medienabspieler Elmedia Player und dem Downloadmanager Folx.

Anzeige

Wer sich Proton einmal eingefangen hat, wird die Malware nur noch mit Mühe los. Betroffene sollten zunächst überprüfen, ob der Schädling wirklich bei ihnen läuft. Bei Elmedia Player und Folx sollen nur Nutzer betroffen sein, die den Download an besagtem 19. Oktober vor 21.15 Uhr MEZ getätigt haben.

Ist die in der Eltima-Software steckende Variante von Proton auf der Maschine, ist dies daran erkennbar, dass ein Hintergrundprozess namens "updateragent" läuft. Dies lässt sich über die Aktivitätsanzeige überprüfen. Im System tief verankern konnte sich Proton zudem nur dann, wenn der Nutzer mithilft: Im Rahmen der Installation von Elmedia Player oder Folx wurden User zur Eingabe ihres Administrationspassworts (siehe Bild) aufgefordert.

Zur Proton-Entfernung sollte zunächst der Prozess "updateragent" beendet werden. Dies ist über die Aktivitätsanzeige (X-Knopf) möglich. Dann sollte man die Hauptanwendung von Elmedia Player beziehungsweise Folx löschen (im Anwendungsverzeichnis) sowie den von Proton installierten LaunchAgent, der dafür sorgt, dass der Schädling sich stets neu startet. Er liegt im Verzeichnis "Library" unter "LaunchAgents" und heißt "com.Eltima.UpdaterAgent.plist".

Anschließend muss verschiedene von Proton platzierte unsichtbare Dateien loswerden. Unter macOS Sierra und macOS High Sierra ist hierzu zunächst im Finder die Tastenkombination Apfel+Shift plus "." (Punkt) zu drücken. Bei älteren macOS-Versionen muss der Nutzer einen kurzen Ausflug ins Terminal unternehmen, um unsichtbare Dateien im Finder anzeigen und löschen zu können. Eine Anleitung dazu findet sich hier.

Die bislang bekannten versteckten Proton-Dateien beziehungsweise Verzeichnisse, die dringend gelöscht werden sollten, lauten:

Ist die Anzeige unsichtbarer Dateien aktiviert, lassen sie sich einfach auffinden und in den Papierkorb ziehen. Dieser wird dann geleert. Anschließend sollte der Rechner von Proton befreit sein.

Anzeige

Allerdings lässt sich dies nicht mit hundertprozentiger Sicherheit sagen. Der Grund: Proton ist als Trojaner von seinen Entwicklern fernsteuerbar – beziehungsweise war es, solange der dafür benötigte Command & Control-Server aktiv ist. So konnten auf dem infizierten Mac beliebige Dateien kopiert, gelöscht, angelegt oder hochgeladen, zudem der Rechner durchsucht sowie Dateien aus der Ferne ausgeführt werden. Auch ein direkter Zugang zur Maschine mittels SSH-Tunnel ist vorgesehen.

Entsprechend besteht beziehungsweise bestand die Möglichkeit, dass die Proton-Macher noch weiteren bösen Code auf die betroffenen Maschinen einschleusen konnten. Das Sicherheitsunternehmen ESET, das Proton als erstes in den Eltima-Apps nachgewiesen hatte, empfiehlt denn auch, betroffene Rechner komplett neu aufzusetzen – und mit einem hoffentlich vorhandenen Back-up zu bespielen, das aus der Zeit vor der Infektion stammt. Sollte das Medium, auf dem es lagert, mit dem infizierten Rechner verbunden gewesen sein, könnte aber auch dieses kompromittiert worden sein – selbst wenn dies unwahrscheinlich ist. Gleiches gilt für angeschlossene iOS-Geräte oder andere im Netzwerk vorhandene Macs und/oder PCs. Auch hier wäre eine Kompromittierung denkbar, wenn auch unwahrscheinlich – zumindest gibt es keine entsprechenden Berichte.

Betroffene Nutzer sollten darüber hinaus dringend alle wichtigen Passwörter ändert – inklusive dem der Apple-ID. Proton saugt neben Kryptowährungs-Wallets auch noch die Schlüsselbunddatenbank (Keychain), GnuPG-Informationen, VPN- und SSH-Zugänge sowie die Datenbank des beliebten Passwortmanagers 1Password ab. Apple hat mittlerweile das Entwicklerzertifikat zurückgezogen, mit dem die jüngste Inkarnation von Proton auf dem Mac ausführbar wird. (bsc)

13 Kommentare

Themen:

Anzeige
  1. Mac-Shareware-Downloads mit signiertem Trojaner

    Mac-Shareware-Downloads mit signiertem Trojaner

    Die Apps Folx und Elmedia Player wurden nach einem Hack über deren Websites inklusive der "Proton"-Malware vertrieben. Der Hersteller empfiehlt eine Neuinstallation betroffener Maschinen.

  2. Mac-Malware Proton gibt sich als "Symantec Malware Detector" aus

    Malware

    Getarnt als Malware-Erkennung wurde der Mac-Trojaner über ein vermeintliches Symantec-Blog vertrieben. Eine über soziale Netze verbreitete Falschmeldung soll Nutzer zur Installation bringen.

  3. Mac-Version von Handbrake mit Malware verteilt

    Mac-Version von Handbrake mit Malware verteilt

    Einer der Mirror-Server des populären Open-Source-Videoencoders wurde gehackt. macOS-Nutzer sollten prüfen, ob sie sich einen Datenschädling eingefangen haben, der Passwörter entwendet.

  4. MacRansom und MacSpy: Mac-Malware kommt als Dienstleistung

    MacRansom und MacSpy: Mac-Malware kommt als Dienstleistung

    Unbekannte handeln mit zwei Malware-Tools, die auf macOS abzielen – darunter ein Erpressungstrojaner. Mac-Nutzer seien gewöhnlich gewillt, weiter über 1000 Dollar für die Entschlüsselung ihrer Dateien zu bezahlen, wirbt der Anbieter.

  1. Interview: Wie sicher sind iOS und macOS vor Angriffen?

    An der Tastatur

    Die Windows-Welt erlebt mit „WannaCry“ & Co. massive Malware-Wellen. Doch auch die Angriffe auf den Mac nehmen zu. Im Mac & i-Gespräch erklärt der renommierte Sicherheitsforscher Patrick Wardle, was Nutzern blühen könnte, wenn Apple nicht reagiert.

  2. Die Systemprozesse von macOS Sierra

    In der Hintergrundreihe „macOS intern“ blickt Mac & i seit Heft 1/2017 hinter die Kulissen von Apples Desktop-Betriebssystem. Begleitend zum dritten Teil haben wir eine umfangreiche Liste vieler Systemprozesse von macOS 10.12 samt ihrer Bedeutung zusammengetragen.

  3. Welche macOS-Version habe ich?

    Sie möchten wissen, welches macOS auf Ihrem Rechner installiert ist? Wir erklären Ihnen, wie Sie es ganz einfach herausfinden.

  1. Neuer europäischer Satellit Sentinel-3B beobachtet die Erde

    Neuer europäischer Satellit Sentinel-3B beobachtet die Erde

    Wie blau sind die Meere, wie grün ist das Land? Ein neuer Satellit schließt daraus auf den Zustand der Erde. Doch der Start ist auch das Ende eines ungewöhnlichen russisch-europäischen Friedensprojektes.

  2. Honda Monkey ist zurück

    Honda Monkey

    Die Honda Monkey ist der schlagende Beweis dafür, dass Größe bei der Legendenbildung keine Rolle spielt. Die Fan-Szene, die sich um das Bonsai-Bike entwickelt hat, nahm vor allem in Japan, aber auch in Amerika und Europa absurde Züge an. Retro ist in, Honda legt seine Monkey neu auf

  3. Datenschutzgrundverordnung in kleinen Firmen: DSGVO? – Nie gehört

    Datenschutzgrundverordnung in kleinen Firmen: DSGVO? – Nie gehört

    Die neuen Datenschutzbestimmungen nehmen auch kleinste Unternehmer in die Pflicht. Sind sie darauf vorbereitet? Die Uhr tickt. Bei Verstößen drohen empfindliche Bußgelder. Doch Grund zur Panik gibt es nicht, meinen Datenschützer.

  4. Licht für autonome Autos: LG übernimmt für 1,1 Milliarden Euro Beleuchtungsspezialist ZKW

    Licht für autonome Autos: LG übernimmt für 1,1 Milliarden Euro Beleuchtungsspezialist ZKW

    Mit Hilfe der Übernahme des österreichischen Unternehmens ZKW will LG eine weltweite Führungsrolle in der Beleuchtung für selbstfahrende Autos übernehmen.

Anzeige