OSX/Jahlav-C: Neuer Mac-Trojaner gibt sich als fehlender Videocodec aus

Eine neue Variante des Mac-Trojaners OSX.RSPlug ist am Wochenende entdeckt worden. Mit der Bezeichnung OSX/Jahlav-C lässt der Trojaner ein Perl-Script im Hintergrund laufen, das regelmäßig einen externen Server kontaktiert, der auch weiteren Schadcode zur Verfügung stellen könnte. Verbreitet wird OSX/Jahlav-C in Form eines angeblich fehlenden ActiveX-Videocodecs, der auf Porno-Websiten zum Download angeboten wird.

Wer die Befürchtung hat, sich diesen Trojaner eingefangen zu haben, dem empfiehlt sich ein Blick in den Ordner /Library/Internet Plugins, wo im Falle der Infizierung ein Shell-Script mit der Bezeichnung AdobeFlash hinterlegt ist.

Antivirus-Software-Hersteller Sophos stuft den Trojaner selbst bisher als recht unbedeutend ein, aber eines zeigt das Auftauchen von OSX/Jahlav-C eindrucksvoll: Alte Tricks ziehen auch nach Jahren immer noch und es geht schneller als man denkt, sich einen Trojaner oder Virus einzufangen- selbst dann, wenn man keine Raubkopien herunterlädt wie im Fall des iWork-Trojaners. Mit der verstärkten Verbreitung von Macs im Alltag wird es sicher nicht lange dauern, bis auch mal ein ernstzunehmender Mac-Virus die Runde machen wird. Im Falle von OSX/Jahlav-C hilft allerdings auch ein wenig gesunder Menschenverstand: ActiveX ist eine Systemkomponente, die nur auf Windows-Rechnern Verwendung findet und daher aufs Macs gar nicht gebraucht wird. Einzige Ausnahme: Alte Versionen des Internet Explorer für Mac nutzen ActiveX-Steuerelemente.

Seit 2007 kursiert auf der Trojaner OSX.RSPlugE, ein Vorgänger des OSX/Jahlav-C und auch bekannt als DNS-Changer. Dieser verändert die DNS-Einträge eines Macs und leitet den Nutzer des Rechners nicht auf die Seite, die er eigentlich ansteuern wollte, sondern auf eine Phishing-Seite. Prominentes Beispiel: PayPal.