MacGuard: Neue Mac Defender-Variante ohne Eingabe des Administrator-Passworts

Stefan Keller, den 26. Mai 2011

Intego warnt vor einer neuen Version der Malware Mac Defender. Diesmal heißt er MacGuard und kommt ohne die Eingabe eines Administrator-Passworts aus. Seine Vorgehensweise ist jedoch ähnlich zu der seines Vorgängers.

Vor einer Weiterentwicklung der Malware MAC Defender warnt Intego jetzt. Anfang Mai wurde die erste Version bekannt, die noch vergleichsweise harmlos war, da sie sich an vielen Stellen selbst als Malware entlarvt hat. Ein Indikator, den sogar Apple als Indiz nennt, ist die Abfrage des Administratorkennworts. Aber der MacGuard, wie die überarbeitete Version heißt, kommt ohne die Eingabe aus.

Über clevere Suchmaschinenoptimierung („SEO Poisoning“) haben es die Urheber der Malware geschafft, sich bei diversen Suchanfragen auf die vorderen Plätze zu rangieren und werden damit vom Benutzer wahrgenommen. Die Masche ist die gleiche wie gehabt: Eine Webseite warnt vor Viren und sonstigem Getier auf dem Computer und schlägt vor, eine Software zum Entfernen zu installieren. Im Gegensatz zur alten Version, wird diesmal am Anfang nur ein Downloader heruntergeladen, der sich ohne Administrator-Passwort installieren lässt (in den Programme-Ordner kann bei Mac OS X jeder hineinschreiben). Erst der Download lädt den Rest von einem Server herunter. Nach der Installation wird der ursprüngliche Download gelöscht.

Am besten sollte im Safari die Option „Sichere Dateien nach dem Laden öffnen“ deaktiviert werden. Außerdem ist Vorsicht geboten bei Webseiten, die den Look des Finders imitieren (siehe Bild oben). Wer ein wenig technischen Sachverstand mitbringt, wird ohnehin recht schnell auf den Dreh kommen, dass etwas nicht stimmt: Die Schriftart passt nicht, die Dateien stammen dem Namen nach eher von Windows und – selbst wenn das noch nicht überzeugt – die Dateigrößen passen zuweilen nicht wirklich zu den Dateitypen. Eine JS-Datei ist beispielsweise eine, die vor allem im Internet zur Ausführung im Browser benötigt wird; eine Dateigröße von 72 MB wäre absolut tödlich, da sie erst komplett heruntergeladen werden muss, bevor sich ausgeführt wird.

Heute wie damals gilt daher als Tipp: Wenn eine Webseite davon berichtet, dass der eigene Computer mit einem Virus verseucht ist, lügt sie in der Regel. Auf keinen Fall sollte die vorgeschlagene Lösung (Download eines Programms) genutzt werden und wenn ungewollt ein Installer-Fenster geöffnet wird, sollte es umgehend beendet werden.

[via Intego]


Ähnliche Nachrichten