Wie der von der auf Mac OS X spezialisierten Sicherheitsfirma Intego betriebene „The Mac Security Blog“ berichtet, haben die Sicherheitsexperten der Firma eine neue Version des bereits im vergangenen September entdeckten „Imuler-Trojaners“ gefunden. Da sich dieser ursprünglich aber in einer mit chinesischem Text gefüllten PDF-Datei versteckt hielt, wurde er nicht mit höchster Priorität bewertet.
Die neueste Version tarnt sich allerdings in Bild-Dateien, was das Risiko ansteigen lässt. Intego hat dabei zwei in ZIP-Archiven versteckte Vertreter der Malware gefunden: „Pictures and the Ariticle of Renzin Dorjee.zip“, sowie „FHM Feb Cover Girl Irina Shayk H-Res Pics.zip.“ In beiden Fällen versteckte sich hinter dem Archiv eine ausführbare Anwendung und ein Icon um diese als Bild zu tarnen.
Zwar ist diese Technik nicht neu, aber aufgrund der Standardeinstellung des Finders hinterlistig. Denn dieser zeigt bekannte Dateiendungen wie .jpg oder .png standardmäßig nicht an. Öffnet der User die Datei im Glauben, in Kürze das von ihm gewünschte Bild zu sehen, wird der Trojaner ausgeführt, installiert ein Hintertürchen („Backdoor“), löscht sich dann selbst und ersetzt sich automatisch durch das in der Anwendung enthaltene Bild (also das Bild, dass der Nutzer ursprünglich ansehen wollte). Das perfide: Der Nutzer bekommt davon rein gar nichts mit.
Das Hintertürchen wird mit einigen Dateien in das Verzeichnis /tmp/.mdworker installiert und startet einen Prozess namens „.mdworker“. Wichtig ist dabei der „.“, denn mdworker und mdworker32 sind Prozesse, die zum Indexierungsdienst Spotlight gehören. Eine ähnliches Vorgehensweise ist auch bei Windows zu finden, wenn sich ein Virus beispielsweise als svchosts.exe oder als svchost2.exe tarnt (svchost.exe ist ein Windows-Systemdienst, der dynamische Bibliotheken (.dll) ausführt. (Anm. d. Aut.))
Die Malware nistet sich auch im Launch Agent ein, indem die Datei checkvir.plist im Verzeichnis ~/library/LaunchAgents/ installiert wird, und stellt so sicher, dass er bei jedem Starten des Macs aktiv wird. Nach dem Neustart wird außerdem die für erfahrene Nutzer verdächtige Datei „.mdworker“ gelöscht und die benannte checkvir.plist gestartet. Diese sucht nach Nutzerdaten und macht Screenshots, die dann an die Server der Hacker gesendet werden. Auch wird die UDID jedes Macs protokolliert um die Daten später exakt zuzuordnen.
Grund zur Panik besteht allerdings nicht, denn Intego hat den Trojaner auf einschlägigen Seiten bislang noch nicht finden können, empfiehlt aber dennoch vorsorglich, die bekannten Dateiendungen im Finder anzeigen zu lassen. Dazu einfach auf das Finder-Symbol klicken und dann in der Menüleiste zum Reiter „Darstellung“ springen und auf „Darstellungsoptionen einblenden“ klicken. Alternativ kann bei aktiviertem Finder auch einfach „CMD+J“ gedrückt werden. Dann unter „Erweitert“ das Häkchen bei „Alle Dateinamensuffixe verwenden“ aktivieren.
Nebenbei bemerkt: eine derartige Einstellung gibt es auch unter Windows und es empfiehlt sich generell, die Dateiendungen (Suffixe) einblenden zu lassen. Zwar schützt dies nur bei bestimmten Bedrohungen, aber eine kleine Vorsorge ist besser, als große Nachsorge.
Generell war der Mac bislang nicht im Fokus von kriminellen Subjekten, aber Apple schreibt jedes Quartal neue Rekorde und die Anzahl der verkauften Macs steigt konsequent. Daher ist es nur eine Frage der Zeit, bis weitere Bedrohungen für Mac OS X auftauchen, auch wenn es mit dem UNIX-Unterbau per se wesentlich sicherer ist als Windows. Im Zweifelsfall hilft nur der gesunde Menschenverstand, was in Foren auch gerne mal mit „brain.exe“ oder „brain.app“ umschrieben wird. Nutzer sollten mit offenen Augen durch ihr System und das Internet schreiten und nicht jeden Link in Emails öffnen, nur weil er viel nackte Haut oder eine bemerkenswerte Kostenersparnis bei ohnehin nicht zutreffenden Versicherungen verspricht. Auch ein Blick auf die Dateiendungen kann wie im konkreten Fall von einigem Unheil ablenken.
Eine der mit OS X Mountain Lion neu eingeführten Sicherheitsfunktionen ist der Gate Keeper. Nutzern wird dabei die Wahl gelassen, ob alle Programme, oder nur Programme von verifizierten Entwicklern oder Mac App Store-Apps installiert werden dürfen. Das kann ein zusätzlicher Schutz sein; die größte Bedrohung für die Sicherheit des Computers sitzt aber nach wie vor davor.
Die neueste Version tarnt sich allerdings in Bild-Dateien, was das Risiko ansteigen lässt. Intego hat dabei zwei in ZIP-Archiven versteckte Vertreter der Malware gefunden: „Pictures and the Ariticle of Renzin Dorjee.zip“, sowie „FHM Feb Cover Girl Irina Shayk H-Res Pics.zip.“ In beiden Fällen versteckte sich hinter dem Archiv eine ausführbare Anwendung und ein Icon um diese als Bild zu tarnen.
Zwar ist diese Technik nicht neu, aber aufgrund der Standardeinstellung des Finders hinterlistig. Denn dieser zeigt bekannte Dateiendungen wie .jpg oder .png standardmäßig nicht an. Öffnet der User die Datei im Glauben, in Kürze das von ihm gewünschte Bild zu sehen, wird der Trojaner ausgeführt, installiert ein Hintertürchen („Backdoor“), löscht sich dann selbst und ersetzt sich automatisch durch das in der Anwendung enthaltene Bild (also das Bild, dass der Nutzer ursprünglich ansehen wollte). Das perfide: Der Nutzer bekommt davon rein gar nichts mit.
Das Hintertürchen wird mit einigen Dateien in das Verzeichnis /tmp/.mdworker installiert und startet einen Prozess namens „.mdworker“. Wichtig ist dabei der „.“, denn mdworker und mdworker32 sind Prozesse, die zum Indexierungsdienst Spotlight gehören. Eine ähnliches Vorgehensweise ist auch bei Windows zu finden, wenn sich ein Virus beispielsweise als svchosts.exe oder als svchost2.exe tarnt (svchost.exe ist ein Windows-Systemdienst, der dynamische Bibliotheken (.dll) ausführt. (Anm. d. Aut.))
Die Malware nistet sich auch im Launch Agent ein, indem die Datei checkvir.plist im Verzeichnis ~/library/LaunchAgents/ installiert wird, und stellt so sicher, dass er bei jedem Starten des Macs aktiv wird. Nach dem Neustart wird außerdem die für erfahrene Nutzer verdächtige Datei „.mdworker“ gelöscht und die benannte checkvir.plist gestartet. Diese sucht nach Nutzerdaten und macht Screenshots, die dann an die Server der Hacker gesendet werden. Auch wird die UDID jedes Macs protokolliert um die Daten später exakt zuzuordnen.
Grund zur Panik besteht allerdings nicht, denn Intego hat den Trojaner auf einschlägigen Seiten bislang noch nicht finden können, empfiehlt aber dennoch vorsorglich, die bekannten Dateiendungen im Finder anzeigen zu lassen. Dazu einfach auf das Finder-Symbol klicken und dann in der Menüleiste zum Reiter „Darstellung“ springen und auf „Darstellungsoptionen einblenden“ klicken. Alternativ kann bei aktiviertem Finder auch einfach „CMD+J“ gedrückt werden. Dann unter „Erweitert“ das Häkchen bei „Alle Dateinamensuffixe verwenden“ aktivieren.
Nebenbei bemerkt: eine derartige Einstellung gibt es auch unter Windows und es empfiehlt sich generell, die Dateiendungen (Suffixe) einblenden zu lassen. Zwar schützt dies nur bei bestimmten Bedrohungen, aber eine kleine Vorsorge ist besser, als große Nachsorge.
Generell war der Mac bislang nicht im Fokus von kriminellen Subjekten, aber Apple schreibt jedes Quartal neue Rekorde und die Anzahl der verkauften Macs steigt konsequent. Daher ist es nur eine Frage der Zeit, bis weitere Bedrohungen für Mac OS X auftauchen, auch wenn es mit dem UNIX-Unterbau per se wesentlich sicherer ist als Windows. Im Zweifelsfall hilft nur der gesunde Menschenverstand, was in Foren auch gerne mal mit „brain.exe“ oder „brain.app“ umschrieben wird. Nutzer sollten mit offenen Augen durch ihr System und das Internet schreiten und nicht jeden Link in Emails öffnen, nur weil er viel nackte Haut oder eine bemerkenswerte Kostenersparnis bei ohnehin nicht zutreffenden Versicherungen verspricht. Auch ein Blick auf die Dateiendungen kann wie im konkreten Fall von einigem Unheil ablenken.
Eine der mit OS X Mountain Lion neu eingeführten Sicherheitsfunktionen ist der Gate Keeper. Nutzern wird dabei die Wahl gelassen, ob alle Programme, oder nur Programme von verifizierten Entwicklern oder Mac App Store-Apps installiert werden dürfen. Das kann ein zusätzlicher Schutz sein; die größte Bedrohung für die Sicherheit des Computers sitzt aber nach wie vor davor.