Mac-Trojaner im Videocodec von Pornoseiten

Die Sicherheitsunternehmen Intego und Sunbelt haben einen Trojaner entdeckt, der es auf Mac-Benutzer abgesehen hat. Intego zufolge wurden in zahlreichen Mac-Foren Pornoseiten mit Spam beworben, die versuchen, Mac-Nutzern den Schädling OSX.RSPlug.A unterzujubeln.

Die Masche ist bereits älter und kam beispielsweise Anfang des Jahres bei Windows-Trojanern zum Einsatz. Klickt ein Nutzer auf die vermeintlich angebotenen Videos, bekommt er die Fehlermeldung zu Gesicht, dass ein benötigter Videocodec zum Abspielen fehle. Dieser wird laut der Sicherheitsmeldung automatisch auf den Mac heruntergeladen. Bei aktivierter Einstellung in Safari "Sichere" Dateien nach dem Laden öffnen soll die Installation automatisch starten; andernfalls sei ein Doppelklick vom Anwender nötig. Anschließend muss der Nutzer noch das Administratorpasswort eingeben, um die Installation durchzuführen – aber da der Anwender damit zur Installation des angeblichen Codec ja rechnet, wird er aller Wahrscheinlichkeit nach ohne Argwohn dem Trojaner Administratorrechte einräumen.

Als Schadfunktion verbiegt der Trojaner dann die DNS-Einträge auf vom Virenbastler kontrollierte Server, der den Browser mit gefälschten DNS-Antworten für eBay, Paypal und einige Banken- auf Phishing-Seiten umleitet, und erstellt einen Cronjob, der jede Minute diese Einstellung überprüft und gegebenenfalls wiederherstellt. Intego zufolge gibt es unter Mac OS X 10.4 keine Möglichkeit, die DNS-Einträge in der Bedienoberfläche ausfindig zu machen; unter Mac OS X 10.5 (Leopard) kann man sie in den erweiterten Netzwerkeinstellungen finden.

Laut Sunbelt erkennt bislang keiner der Virenscanner auf Virustotal den Schädling. Von dem Trojaner scheint es bereits einige Variationen zu geben, wie Intego anhand mehrerer Downloads herausgefunden hat. Über die Verbreitung des Schädlings gibt es allerdings noch keine Informationen. Als Schutzmaßnahme können Anwender also nur Vorsicht walten lassen oder auf einen Virenscanner für Mac OS X setzen, in der Hoffnung, dass der Antivirenhersteller den Schädling bereits kennt und dafür eine Signatur bereitstellt.

Mac-Benutzer rücken nun ebenfalls ins Blickfeld der kriminellen Banden im Internet. Möglicherweise werden die Angreifer auch dazu übergehen, Schwachstellen in der Systemsoftware von Macs auszunutzen. Wie der jetzt aufgetauchte Trojaner demonstriert, sind Mac-Anwender jedenfalls ebenso wie Nutzer anderer Systeme für Social-Engineering-Attacken anfällig. Auch Mac-Anwender sollten die Hinweise und Tipps beispielsweise zum sicheren Umgang mit E-Mail beachten, die sich auf den Antiviren-Seiten von heise Security finden.

Siehe dazu auch:

• Mackanapes can now can feel the pain of the fake media codec, Blog-Eintrag von Sunbelt
• OSX.RSPlug.A Trojan Horse Changes Local DNS Settings to Redirect to Malicious DNS Servers, Sicherheitsmeldung von Intego
• Leopard mit löchriger Rüstung, Ein zweiter Blick auf die Firewall in Mac OS X Leopard, Artikel auf heise Security
• Porno-Spam bewirbt Seiten mit Trojanern, Meldung von heise Security vom 20.01.2007

(dmk)