Erster Trojaner für Mac OS X gefunden
Alexander Trust, den 1. November 2007
Der erste Trojaner für Apples Mac OS X ist Realität. Offenbar versteckt sich der Angreifer in Videofilmchen auf Erotik-Seiten im Internet.
Intego und Sunbelt wollen nun den ersten Trojaner für OS X gesichtet haben. In Mac-Foren wurden Links zu verseuchten Porno-Seiten in Umlauf gebracht. Besucht ein Mac-Nutzer diese Seiten, kommt er mit dem Trojaner OSX.RSPlug.A in Kontakt.
Versuchen Nutzer die Videos auf der Webseite abzuspielen, wird ihnen eine Fehlermeldung angezeigt, die sie dazu anweist einen kompatiblen Codec für ihren Mac herunterzuladen, um die Videos abspielen zu können. Je nach Browser-Einstellung kann es sogar sein, dass der Schädling im Hintergrund automatisch heruntergeladen und ausgeführt wird. Safari-Nutzer müssten dazu die Einstellung „Sichere“ Dateien nach dem Laden öffnen aktiviert haben. Andernfalls würde man nach dem Download die Installation selbst per Doppelklick starten und darüber hinaus das Administrator-Kennwort eingeben.
DNS-Server manipuliert
Bisherige Virenscanner könnten den Schädling zum jetzigen Zeitpunkt noch nicht erkennen. Bekannt ist, dass der Schädling auf dem Rechner der Nutzer die vorhandenen DNS-Einträge ändert, und zwar auf solche Server, die vom Anbieter des Trojaners kontrolliert werden. Versuchen Nutzer dann Webseiten wie eBay oder PayPal aufzurufen, würde der fremde Server den Nutzer auf eine PayPal-Kopie weiterleiten, ohne dass der Nutzer es merkt. Gibt er dann seine Login-Daten ein, erhält dieser der Ersteller des Trojaners.
Im System wird gleichzeitig ein Cronjob eingerichtet, der die DNS-Einstellungen jede Minute überprüft. Sollte der Nutzer die DNS-Server von Hand verändert haben, werden diese wieder auf die Server des Schädlings geändert.
Völlig unbemerkt vom Nutzer laufen die Dinge nicht ab, die gefährlichste Stelle ist der DAU selbst. Wozu dient der Trojaner? – Er verändert DNS-Einträge und leitet Nutzer unbemerkt auf Doubletten von Ebay- oder Paypal-Seiten, um deren Nutzerdaten auszuspähen. Somit rücken Apple-Geräte zusehends in den Kreis der Phishing-Banden.