Malware: Neuer OS-X-Trojaner macht die Runde (Update)

Florian Matthey
22

Ein neuer OS-X-Trojaner macht die Runde: Die Malware installiert sich in zwei Schritten und erlaubt Angreifern im Anschluss potentiell das Ausforschen von Daten auf dem Rechner des betroffenen Benutzers. Allerdings besteht kein Grund zur Panik: Die Gefahr durch den Trojaner ist vergleichsweise gering, auch lässt er sich einfach entfernen.

CNet berichtet von der Schad-Software, die die Sicherheit-Unternehmen F-Secure und Sophos entdeckt haben. Die Malware installiert sich in zwei Schritten: Zunächst muss der Benutzer den “Trojan Dropper” OSX/Revir.A herunterladen und ausführen. Die Software lädt im Anschluss die eigentliche Malware herunter und installiert sie auf dem System.

Um den Benutzer von dem Installationsvorgang abzulenken, öffnet der Installer im Vordergrund mehrere Male ein PDF-Dokument mit chinesischen Schriftzeichen. Für alle Benutzer, die zu diesem Zeitpunkt nicht schon Verdacht schöpfen, heißt die Datei auch noch “trojan.pdf”. Nach der Installation des Trojaners OSX/Imuler.A nimmt dieser Verbindung zu einem Server auf, der ihn dann mit Befehlen zum Herunterladen von Dateien oder Screenshots versorgen soll. Auch teilt die Software dem Server den Account-Namen des angemeldeten Benutzers und die MAC-Adresse des Rechners mit.

Allerdings sendet der Server aktuell keine Befehle – offenbar befindet er sich noch in einer Testphase. Theoretisch ließen sich so allerdings tatsächlich Benutzerdaten ausspähen, weshalb betroffene Benutzer die Malware schnellstmöglich entfernen sollten. In der Aktivitätsanzeige des Betriebssystems, die sich im Ordner “Dienstprogramme” befindet, sollten sie den Prozess “checkvir” suchen. Dieser sorgt dafür, dass sich die Malware automatisch nach der Anmeldung startet.

Sollte dieser Prozess vorhanden sein, lässt er sich über das Stopp-Schild in der Aktivitätsanzeige sofort beenden. Im Anschluss sollte der Benutzer das Verzeichnis /Benutzername/Library/Launch Agents/ öffnen – unter OS X Lion lässt sich dieses aufrufen, indem der Benutzer mit gedrückter Options- beziehungsweise Alt-Taste im Finder das Menü “Gehe zu” und dann “Library” öffnet. Im Ordner “Launch Agents” befindet sich “checkvir”, das sich dann in den Papierkorb befördern lässt.

Auch ist davon auszugehen, dass Apple in naher Zukunft die Malware-Datenbank des Betriebssystems erneuern wird, so dass dieses die Malware selbständig entfernen kann. Angesichts dessen, dass der Benutzer die Software selbst installieren und dafür sogar sein Benutzerpasswort eingeben muss, dürfte sich die Malware nicht wirklich schnell verbreiten. Auch lässt sich über die Aktivitätsanzeige schnell herausfinden, ob sie auf einem System vorhanden ist.

Die Gefahr ist also nicht wirklich groß. Allerdings ist jedem Benutzer – wie immer – zu raten, genau darauf zu achten, was er auf seinem System installiert.

Update: Apple hatte die Malware-Definitionen des Betriebssystems zum Zeitpunkt der Veröffentlichung dieses Artikels bereits aktualisiert.

Weitere Themen: Malware, Update, MacOS, Apple