74600

Trojanisches Pferd zielt auf Mac-Nutzer

02.11.2007 | 17:55 Uhr |

Die vorgeblichen Video-Codecs aus der Zlob-Familie zielen inzwischen auch auf die vermeintlich Malware-sicheren Rechner mit Mac OS X. Sie installieren auch hier ein Trojanisches Pferd, das DNS-Abfragen umleitet.

Wer bislang immer noch der Meinung ist, Mac OS X sei sicher vor Malware, muss sich einmal mehr eines Besseren belehren lassen. Der Entscheidung von Apple auf Intel-basierte Hardware umzustellen hat Mac OS X nicht nur bei Anwendern populärer gemacht. Auch die Portierung von Malware wird dadurch einfacher. Außerdem treffen Malware-Angriffe auf eine Benutzergemeinde, die noch nicht in gleichem Maße wie Windows-Anwender auf Misstrauen gegenüber unbekannten Programmen geeicht ist. Das Internet Storm Center berichtet über eine auf Mac portierte Zlob-Variante, die als Video-Codec daher kommt .

Wie üblich zielen die Zlob-Macher auf Porno-Konsumenten. Auf einschlägigen Portalen werden zum Schein Videos angeboten, die jedoch vorgeblich nur mit einem bestimmten Video-Codec abgespielt werden können. Den kann sich das Opfer in spe gleich herunter laden. Es handelt sich dabei, wie beim Mac üblich, um eine Datei im DMG-Format, ein Disk-Image, das sich unter Mac OS X als virtuelles Laufwerk einbinden lässt.

Das Trojanische Pferd ist von recht schlichter Machart und funktioniert im Grunde wie seine Windows-Geschwister. Es ändert die Nameserver-Einstellungen für DNS-Abfragen und meldet sich beim Kontroll-Server der Malware-Bande an. Es leitet dann Web-Aufrufe bestimmter Seiten auf andere Server um. Ein neu angelegter Cron-Job (vergleiche den Taskplaner unter Windows) wird jede Minute ausgeführt und stellt sicher, dass alle Einstellungen so bleiben, wie sie die Scripte des Trojanischen Pferds vorgenommen haben.

Virenscanner für Mac OS X sind dünn gesät und auf Mac-Rechnern selten anzutreffen. Zlob-infizierte Macs sind daran zu erkennen, dass es im Ordner "/Library/Internet Plug-Ins" eine Datei namens "plugins.settings" gibt und diese sich auch in der Liste der Cron-Jobs wiederfindet. Dieser Dateiname kann jedoch in anderen Versionen des Schädlings abweichen. Die Kollegen von der MacWorld haben eine Anleitung bereit gestellt, wie der Schädling zu finden und zu entfernen ist.

0 Kommentare zu diesem Artikel
74600