- Registriert
- 19.07.09
- Beiträge
- 1.409
Auf dem Blog mit dem passenden Namen nakedsecurity der Firma Sophos wird von einem Trojaner berichtet, der sich in vermeintlich harmlosen Zip-Archiven mit Bildern der Models Irina Shayk oder Renzin Dorjee tarnt. Die Malware nutzt dabei nicht direkt eine Sicherheitslücke, sondern eher eine standardmäßige Einstellung im Mac OS Finder aus, die Datei-Endungen ausblendet. Die Sicherheitsexperten von Intego wurden als erste auf den Fund aufmerksam. [PRBREAK][/PRBREAK]
Die betroffenen Bild-Dateien fanden sich in Zip-Archiven mit den Namen „Pictures and the Ariticle of Renzin Dorjee.zip“ oder „FHM Feb Cover Girl Irina Shayk H-Res Pics.zip“. Während in dem Blog-Artikel den Trojaner Imuler in der Version B vorfand, berichtet Intego von der C-Version. Unabhängig davon, genügt es, die scheinbare Bild-Datei (inklusive Vorschaubild) anzuklicken, um den Trojaner zu installieren. Dieser produziert zwar ein tatsächliches Bild (.jpg) von dem Top-Model, öffnet aber gleichzeitig eine Hintertür, um persönliche Daten des Nutzers auf Server in der Ferne zu übertragen. Sofort danach verschwindet die Installationsdatei wieder aus dem Ordner.
Um eine eventuelle Infektion mit dem Trojaner loszuwerden, empfehlen die Sicherheitsexperten, nach dem Prozess „.mdworker“ zu suchen und diesen zu beenden. Danach löscht man die temporären Dateien „.mdworker“ (Wichtig ist hier der vorangestellte Punkt, die Datei mdworker ohne Punkt gehört zu Spotlight!) und „CurlUpload“. Dann löscht man noch die Dateien „checkvir“ und „chechvir.plist“ aus dem Ordner Home/Library/LaunchAgents. Grundsätzlich ist es aber ratsam, in den Finder-Einstellungen die Funktion „Alle Dateinamensuffixe einblenden“ anzuschalten. Ein wachsames Auge beim Herunterladen von Dateien unbekannter Herkunft kann natürlich auch nicht schaden.
Via nakedsecurity
Die betroffenen Bild-Dateien fanden sich in Zip-Archiven mit den Namen „Pictures and the Ariticle of Renzin Dorjee.zip“ oder „FHM Feb Cover Girl Irina Shayk H-Res Pics.zip“. Während in dem Blog-Artikel den Trojaner Imuler in der Version B vorfand, berichtet Intego von der C-Version. Unabhängig davon, genügt es, die scheinbare Bild-Datei (inklusive Vorschaubild) anzuklicken, um den Trojaner zu installieren. Dieser produziert zwar ein tatsächliches Bild (.jpg) von dem Top-Model, öffnet aber gleichzeitig eine Hintertür, um persönliche Daten des Nutzers auf Server in der Ferne zu übertragen. Sofort danach verschwindet die Installationsdatei wieder aus dem Ordner.
Um eine eventuelle Infektion mit dem Trojaner loszuwerden, empfehlen die Sicherheitsexperten, nach dem Prozess „.mdworker“ zu suchen und diesen zu beenden. Danach löscht man die temporären Dateien „.mdworker“ (Wichtig ist hier der vorangestellte Punkt, die Datei mdworker ohne Punkt gehört zu Spotlight!) und „CurlUpload“. Dann löscht man noch die Dateien „checkvir“ und „chechvir.plist“ aus dem Ordner Home/Library/LaunchAgents. Grundsätzlich ist es aber ratsam, in den Finder-Einstellungen die Funktion „Alle Dateinamensuffixe einblenden“ anzuschalten. Ein wachsames Auge beim Herunterladen von Dateien unbekannter Herkunft kann natürlich auch nicht schaden.
Via nakedsecurity
Zuletzt bearbeitet von einem Moderator:
Aber gut, wer beim Doppelklicken auf ein Bild aufgefordert wird das Admin-Passwort einzugeben und dies dann auch noch macht (wenn der Installationsprozess gestartet wird). Der hat sowieso nichts vor nem Rechner zu suchen. Ich denke so viel Grundwissen kann man in der heutigen Zeit voraussetzen.
Für die gibt's dann den Gatekeeper in OS X Berglöwe.
