Erster Trojaner für Mac OS X kursiert im Internet: Ultracodec4313.dmg / OSX.RSPlug.A

Nach sechseinhalb Jahren gibt es die erste ernsthafte Bedrohung für Mac-Anwender aus dem Internet. Der Sicherheitssoftwarehersteller Intego hat aufgedeckt, dass der Anwender auf verschiedenen Seiten zwecks Abspielen eines Videos aufgefordert wird, einen vermeintlichen Video-Codec für QuickTime zu laden und zu installieren.

Tatsächlich wird nach dem Download und Aktivierung des »Ultracodec4313.dmg« (und ähnlich benannter Varianten) nach Doppelklick auf das Installationspaket »install.pkg« ein trojanisches Pferd installiert, welches die voreingestellten DNS-Server des Macs verändert und diese nach eigenen Vorstellungen umleitet.

Daraus resultiert, dass anschließende Aufrufe von zum Beispiel paypal.com auf Phishing-Varianten umgeleitet werden, um dort die eingegeben Daten des unbedarften Nutzers zu stehlen. Das trojanische Pferd legt außerdem einen »cron job« an, der die trügerischen DNS-Einstellungen zurückbringt, falls diese geändert werden sollten.

Feststellen des Befalls

Ob eine Infektion mit OSX.RSPlug.A stattgefunden hat, können Sie über einen Blick in »/Library/Internet Plug-Ins« feststellen. Befindet sich dort eine Datei mit dem Namen »plugins.setting«, ist es sehr wahrscheinlich, dass OSX.RSPlug.A am Werk ist.

Weiterhin kann Überprüfung der cron jobs nachvollzogen werden, ob der Trojaner installiert ist. Nach Eingabe des Befehls

sudo crontab -l

im Terminal-Programm von Mac OS X und Eingabe des Admin-Benutzerpasswortes sollte die Ausgabe im Terminalfenster folgende sein:

crontab: no crontab for root

Erscheint hingegen

* * * * * "/Library/Internet Plug-Ins/plugins.settings">/dev/null 2>&1

befindet sich der Trojaner auf Ihrem Mac.

Gegenmassnahmen

Entweder Sie verwenden Intego VirusBarrier X4 mit den aktuellsten Virendefinitionen oder Sie gehen wie folgt vor (Hinweis: Eingaben von Befehlen und Passwörtern im Terminal-Programm müssen Sie durch Betätigen der Eingabe- oder Zeilenschalttaste bestätigen):

Löschen Sie die Datei »plugins.settings« aus dem Ordner »Internet Plug-Ins« in der Library im Wurzelverzeichnis.

Im Terminalprogamm geben Sie bitte folgenden Befehl zum Löschen des bösartigen cron jobs ein:

sudo crontab -r

Danach überprüfen Sie durch EIngabe von

sudo crontab -l

ob der cron job gelöscht worden ist. Die Ausgabe sollte folgende sein:

crontab: no crontab for root

Öffnen Sie nun die Systemeinstellungen und den Bereich »Netzwerk«, notieren Sie die vorhandenen DNS-Einträge, löschen Sie die Einträge und tragen Sie sie neu ein. Dies gilt dann, wenn die DNS-Server nicht automatisch von einem DHCP-Server geliefert werden und grau dargestellt werden.

Führen Sie einen Neustart Ihres Macs durch und starten Sie das Terminalprogramm. Nach Eingabe des Befehls

scutil

und Verwenden des Befehls

show State:/Network/Global/DNS

werden die bekannten DNS-Server aufgelistet. Hier sollten Sie nun ausschliesslich die gleichen Einträge finden wie im Bereich »Netzwerk« in den Systemeinstellungen.

Gute Vorgehensweisen für die Zukunft

Installieren Sie Intego VirusBarrier X4 auf Ihrem Mac und halten Sie die Virendefinitionen aktuell. Wir haben VirusBarrier ab Lager verfügbar, es gibt Volumenlizenzen, Updates für ältere Versionen und Abonnements für die Virusdefinitionen. Sprechen Sie uns an.
Laden Sie nur Dateien, Progamme, Codecs etc. von vertrauenswürdigen Quellen.
Deaktivieren Sie in Safari die Option »Sichere Dateien nach dem Laden öffnen«
Definieren Sie ein Passwort für Ihr übliches Benutzerkonto, sollten Sie derzeit keines haben.
Aktivieren Sie die Firewall in den Systemeinstellungen von Mac OS X.

Grundlage für diesen Artikel ist die Arbeit von Rob Griffiths von macworld.com: Trojan Horse warning: What you need to know

< Zurück		Weiter >