News & Rumors: 15. Juni 2009,

OSX/Jahlav-C: Neuer Mac-Trojaner gibt sich als fehlender Videocodec aus

FinderEine neue Variante des Mac-Trojaners OSX.RSPlug ist am Wochenende entdeckt worden. Mit der Bezeichnung OSX/Jahlav-C lässt der Trojaner ein Perl-Script im Hintergrund laufen, das regelmäßig einen externen Server kontaktiert, der auch weiteren Schadcode zur Verfügung stellen könnte. Verbreitet wird OSX/Jahlav-C in Form eines angeblich fehlenden ActiveX-Videocodecs, der auf Porno-Websiten zum Download angeboten wird.

Wer die Befürchtung hat, sich diesen Trojaner eingefangen zu haben, dem empfiehlt sich ein Blick in den Ordner /Library/Internet Plugins, wo im Falle der Infizierung ein Shell-Script mit der Bezeichnung AdobeFlash hinterlegt ist.

Werbung

Antivirus-Software-Hersteller Sophos stuft den Trojaner selbst bisher als recht unbedeutend ein, aber eines zeigt das Auftauchen von OSX/Jahlav-C eindrucksvoll: Alte Tricks ziehen auch nach Jahren immer noch und es geht schneller als man denkt, sich einen Trojaner oder Virus einzufangen- selbst dann, wenn man keine Raubkopien herunterlädt wie im Fall des iWork-Trojaners. Mit der verstärkten Verbreitung von Macs im Alltag wird es sicher nicht lange dauern, bis auch mal ein ernstzunehmender Mac-Virus die Runde machen wird. Im Falle von OSX/Jahlav-C hilft allerdings auch ein wenig gesunder Menschenverstand: ActiveX ist eine Systemkomponente, die nur auf Windows-Rechnern Verwendung findet und daher aufs Macs gar nicht gebraucht wird. Einzige Ausnahme: Alte Versionen des Internet Explorer für Mac nutzen ActiveX-Steuerelemente.

Seit 2007 kursiert auf der Trojaner OSX.RSPlugE, ein Vorgänger des OSX/Jahlav-C und auch bekannt als DNS-Changer. Dieser verändert die DNS-Einträge eines Macs und leitet den Nutzer des Rechners nicht auf die Seite, die er eigentlich ansteuern wollte, sondern auf eine Phishing-Seite. Prominentes Beispiel: PayPal.

Weitersagen

Zuletzt kommentiert



 1 Kommentar(e) bisher

  •  HansWurst (15. Juni 2009)

    Naja, welches Wochenende? Die News geisterte doch schon vor etlichen tagen herum. Neu ist sie keinesfalls.


Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht.



Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>