Mac-Angriff - Trojanisches Pferd auf Porno-Seiten
Schädling tarnt sich als QuickTime-Video-Codec
Im Internet wurde ein neues Trojanisches Pferd entdeckt, das es auf Mac-Systeme absieht und sich über verschiedene Porno-Seiten verbreitet. Zwar ist es keine Neuheit, dass auch für MacOS X Viren und Würmer im Umlauf sind, aber der aktuelle Fall zeigt, dass Malware-Banden auch Mac-Systeme ins Visier nehmen.
In zahlreichen Mac-Foren wurden viele Spam-Nachrichten gesichtet, die Mac-Anwender auf eine Reihe von pornografischen Webseiten locken wollen, berichtet der Antivirenanbieter Intego.com. Gelangt ein Mac-Anwender auf eine dieser Porno-Seiten, erblickt er Fotos von vermeintlichen Porno-Videos, die angeblich durch einen Klick auf ein solches Bild abgespielt werden. Dieser Klick führt aber dann nur zu einer fingierten Fehlermeldungsseite, wonach angeblich ein QuickTime-Codec fehle, um das Videomaterial abspielen zu können.
Bereits beim Laden dieser Fehlermeldungsseite wird eine dmg-Datei auf den Mac geladen. Ist in den Browser-Einstellungen der Punkt "'Sichere' Dateien nach dem Laden öffnen" oder eine vergleichbare Option aktiviert, wird das Trojanische Pferd nach Angaben von Intego.com automatisch installiert. Ansonsten muss der Nutzer, der in den Glauben versetzt wurde, einen Video-Codec für QuickTime zu installieren, die Installation selbsttätig anwerfen.
Daher weckt es auch noch nicht den Argwohn des Opfers, dass zur Installation des vermeintlichen Codecs das Administratorkennwort eingegeben werden muss. Damit erhält das Trojanische Pferd namens "OSX.RSPlug.A Trojan Horse" vollen Zugriff auf das Mac-System. Diesen nutzt der Schädling, um DNS-Einträge zu verändern. Das versprochene Porno-Video erscheint danach hingegen nicht, so dass ein Opfer nun misstrauisch werden dürfte.
Durch das Verändern von DNS-Einträgen leitet das Trojanische Pferd Aufrufe von eBay, PayPal und einigen Banken-Websites auf Phishing-Webseiten um. Angreifer versuchen so, an Zugangsdaten für eBay, PayPal sowie Bankdaten zu gelangen. Ansonsten wird das Opfer auf Pornoseiten geleitet, um auf diesem Wege Zugriffe für die Vermarktung von Werbung zu erzeugen. Der Schädling überwacht die DNS-Einstellungen beständig und stellt diese wieder um, falls diese verändert wurden.
Auf Systemen mit MacOS X 10.4 lassen sich die veränderten DNS-Einstellungen über die Betriebssystem-Oberfläche nicht einsehen. Erst mit dem gerade erschienenen MacOS X 10.5 werden diese Einstellungen in den erweiterten Netzwerkoptionen aufgelistet. Aber die durch den Schädling vorgenommenen DNS-Einträge lassen sich nicht ohne weiteres manuell löschen, weil der Zugriff blockiert ist. Nach Intego-Angaben wurden bereits mehrere Varianten des Schädlings gesichtet.
Nach Aussage von Sunbelt hat sich das Trojanische Pferd bislang aber nicht stark verbreitet. Gleichwohl zeige der aktuelle Fall, dass Malware-Gruppen es auch auf Mac-Systeme abgesehen haben, während bislang vor allem Windows-Nutzer im Visier solcher kriminellen Banden standen.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Die kommen immer nur dann wenn Apple das 8. oer 9. Weltwunder präsentiert hat. Das...
lesen ist die eine sache, verstehen die andere. bei dir scheint´s bei letzterem zu haken...
hat man das mit erwerb eines appel-produktes nicht für immer aufgegeben?
[...] Bist Du sicher, dass Du weißt, was für Schad- software unter Windows üblich ist...