Flashback-Entferner: Apple löscht Mac-Trojaner nicht auf allen Systemen
Apple hat die dritte Aktualisierung des Java-Sicherheitsupdates veröffentlicht. Java for OS X 2012-003(öffnet im neuen Fenster) für Lion und Java for Mac OS X 10.6 Update 8(öffnet im neuen Fenster) beseitigen nicht nur Sicherheitslücken, sondern enthalten auch gleich ein Werkzeug, das vergleichbar mit Microsofts Windows-Tool zum Entfernen bösartiger Software ist. Sollte das kombinierte Update bei der Installation den Flashback-Trojaner finden, wird er entfernt.
Zu beachten ist allerdings, dass sich Apple selbst bei diesem Befall bisher nicht dazu durchringen konnte, auch ältere Mac-OS-Versionen vernünftig zu versorgen. Mac OS X 10.5 alias Leopard und frühere Versionen werden nicht mehr mit Updates versorgt. Mac OS X 10.5 ist etwa Ende 2007 erschienen. Der Support wurde Ende 2011 eingestellt.
Apple kommuniziert kaum
Microsoft hat nicht zuletzt wegen solcher Vorfälle den Supportzeitraum für Sicherheitsupdates von Windows XP immer wieder verlängert. Er liegt derzeit laut dem Lifecycle-Dokument(öffnet im neuen Fenster) bei mehr als zwölf Jahren. Microsoft propagiert zudem aktiv, wann Systeme aus welchen Supporttypen herausfallen. Bei Apple fehlt eine derartige Kommunikation mit den Kunden ganz.
Um aktiv die Verbreitung des Trojaners zu verhindern, hat Apple damit mehr als eine Woche gebraucht. Zunächst wurde Anfang April 2012 hastig ein Java-Update veröffentlicht, das kurz danach wegen Programmierfehlern noch einmal korrigiert werden musste. Es beseitigte seit Wochen bekannte Sicherheitslücken in Java, auf die Oracle sehr deutlich hingewiesen und die es zuvor bereits geschlossen hatte.
Langsame Reaktion ermöglichte erst den Flashback-Trojaner-Befall
Trotzdem entschied sich Apple zunächst dafür, nicht zu reagieren und ermöglichte die folgenschwere Verbreitung des Flashback-Trojaners. Erst am 10. April 2012 gestand Apple das Problem öffentlich ein . Sonst fiel das Unternehmen durch Schweigen auf. Selbst Anfragen von Tageszeitungen(öffnet im neuen Fenster) wurden nur mit "Kein Kommentar" beantwortet. Auch Sicherheitsunternehmen bemängeln das Schweigen Apples . In der Vergangenheit hat Apple sogar Sicherheitsexperten aus seinem Entwicklerprogramm geworfen .
Auf seinem Höhepunkt hat der Trojaner laut Kaspersky Lab insgesamt 670.000 Macs befallen .
Infektionsrate sinkt bereits seit Tagen
Wie Symantec(öffnet im neuen Fenster) herausfand, ist die Infektionsrate auch ohne Apples Zutun gesunken. Im Unterschied zu Dr. Web und Kaspersky Lab konnte Symantec erst recht spät mit einem Sinkhole-Server Daten sammeln. Am 10. April 2012 ermittelte die Firma nur 380.000 Infektionen. Am 11. April 2012 waren es nur noch 270.000.
Um mit den Command-&-Control-Servern zu kommunizieren, nutzt die aktuelle Flashback-Variante einen Domain Name Generator. Symantec hat einige Domains bereits veröffentlicht. Am kommenden 15. April 2012, also am Sonntag, verbindet sich der Trojaner beispielsweise mit jghidxcalkrrw.com.
Warum der Befall so stark sinkt, sagt Symantec nicht. Die Schadsoftware hat allerdings so viel Aufmerksamkeit erzeugt, dass auch Nicht-IT-Medien weltweit über den ersten großen Schadsoftwarebefall in der Mac-Welt berichtet hatten. Möglicherweise ist es für die Flashback-Autoren zu viel Aufmerksamkeit gewesen und sie haben die Verbreitung gestoppt. Denn ihre kriminellen Pläne konnten sie nun nicht mehr ungestört vornehmen.
Die Auswirkungen waren für die IT-Sicherheitsindustrie von Vorteil. Macworld berichtet beispielsweise(öffnet im neuen Fenster) , dass sich die Entwickler von Sicherheitslösungen über steigende Verkaufszahlen freuen können.