- Registriert
- 06.04.08
- Beiträge
- 45.516
Der Antiviren-Hersteller Dr. Web hat eine neue Malware für OS X namens iWorm entdeckt. Das Schadprogramm, das vermutlich als Trojaner zu klassifizieren ist, soll Ende September bereits über 18.000 Macs befallen haben. Sicherheitsexperte Thomas Reed erklärt auf seinem Blog The Safe Mac, dass sich die Malware offenbar über illegale Software-Downloads im Torrent-Netzwerk verbreitet hat. Infizierte Macs werden Teil eines Botnets, die häufig zur Ausführung von DDoS-Attacken oder zum Versand von Spam-Nachrichten missbraucht werden. Zu Attacken über das iWorm-Botnet soll es bisher jedoch nicht gekommen sein. Apple hat gestern im Hintergrund seinen in OS X integrierten Malwareschutz XProtect aktualisiert und sperrt iWorm nun aus.[prbreak][/prbreak]
Verbreitung über illegale Software-Kopien
Nach einem Tipp eines Lesers hat Reed herausgefunden, wie der Schädling auf dem Mac landet. iWorm scheint sich über manipulierte Installer von beliebten Software-Produkten zu verbreiten. In seinem Fall handelte es sich um eine illegale Version von Photoshop CC, das zu Testzwecken über das Torrent-Netzwerk heruntergeladen wurde. Weitere Downloadangebote des Torrent-Users umfassen unter anderem illegale Kopien von Microsoft Office und Parallels. Sobald man bei der Installation der manipulierten Software das Admin-Passwort des Macs eingibt, wird der Trojaner auf Systemebene installiert. Ohne Passworteingabe schafft es der Schädling hingegen nicht auf den Mac.
Einen zusätzlichen Schutz bietet außerdem Gatekeeper. Die ab Mac OS X Lion 10.7.5 verfügbare Funktion verhindert – sofern die Einstellungen nicht verändert wurden – das Ausführen von Programmen von nicht verifizierten Entwicklern. Die Einstellungen von Gatekeeper können unter Systemeinstellungen > Sicherheit > Apps-Download erlauben von überprüft werden. Reed hat die infizierten Dateien mit dem Online-Virenscanner VirusTotal überprüfen lassen. Die Daten werden dabei auf die Server des Dienstes hochgeladen und dort mit über 50 Antiviren-Programmen untersucht. Lediglich drei Antiviren-Engines haben dabei den Schädling entdeckt.
Ist mein Mac infiziert?
Der Trojaner wird im Ordner /Library/Application Support/JavaW installiert. Die Bezeichnung Java dient dabei offenbar nur als Tarnung. Reed konnte keine Hinweise dafür finden, dass iWorm eine Java-Sicherheitslücke ausnutzt. Wie oben beschrieben scheint die Installation rein durch den Nutzer zu erfolgen, eine Drive-by-Infektion ist nicht möglich. Wer trotzdem überprüfen möchte, ob iWorm auf dem eigenen Mac installiert ist, muss lediglich nach dem betreffenden Ordner suchen. Ist dieser nicht vorhanden, wurde iWorm auch nicht installiert. Am einfachsten wird dies überprüft, indem der Finder geöffnet und in der Menüleiste oben Gehe zu > Gehe zum Ordner … ausgewählt wird. Wird nach einer Eingabe des Pfades (einfach den Pfad oben kopieren und in die Suchmaske eingfügen) angezeigt, dass der Ordner nicht gefunden wurde, ist der Mac nicht befallen.
Erscheint im Finder dieses Fenster, ist iWorm nicht installiert.
XProtect aktualisiert
Apple hat gestern außerdem den seit Snow Leopard integrierten Schädlings-Schutz XProtect aktualisiert, um weiteren Schaden durch iWorm zu verhindern. Das Update wird – sofern die Einstellungen nicht verändert wurden – vollautomatisch im Hintergrund geladen, eine gesonderte Information an den Nutzer erfolgt nicht. Die Einstellungen zur automatischen Aktualisierung von XProtect befinden sich bis Mountain Lion unter Systemeinstellungen > Sicherheit > Erweitert (zuvor über das Schloss entsperren) > Liste für sichere Downloads automatisch aktualisieren. Unter Mavericks ist der Menüpunkt zu Systemeinstellungen > App Store > Systemdatendateien und Sicherheits-Updates installieren gewandert. Beide Häkchen sollten gesetzt sein.
Wer überprüfen möchte, ob XProtect auf seinem Gerät tatsächlich aktualisiert wurde, muss einen Blick in die XProtect-Datenbank werfen (keinesfalls Veränderungen an den Dateien vornehmen!). Dazu zum Ordner /System/Library/CoreServices navigieren (am einfachsten über die weiter oben genannte „Gehe zum Ordner …“-Funktion) und bei CoreTypes.bundle mit Rechtsklick auf Paketinhalt zeigen klicken. Unter Contents/Resources befindet sich die XProtect.plist. Nach einem Öffnen der Datei in der Suchfunktion „iWorm“ eingeben, es sollten drei Ergebnisse gefunden werden (iWorm.A, iWorm.B, iWorm.C). Der Mac sollte vor weiteren Angriffen des Trojaners geschützt sein, eine Installation von iWorm ist nicht möglich.
Die XProtect-Datenbank wurde gestern von Apple aktualisiert.
Weitere Informationen zu den in OS X eingebauten Sicherheitsfunktionen Gatekeeper und XProtect gibt es in den verlinkten Support-Artikeln von Apple.
Via Dr. Web, The Safe Mac (1|2)
Verbreitung über illegale Software-Kopien
Nach einem Tipp eines Lesers hat Reed herausgefunden, wie der Schädling auf dem Mac landet. iWorm scheint sich über manipulierte Installer von beliebten Software-Produkten zu verbreiten. In seinem Fall handelte es sich um eine illegale Version von Photoshop CC, das zu Testzwecken über das Torrent-Netzwerk heruntergeladen wurde. Weitere Downloadangebote des Torrent-Users umfassen unter anderem illegale Kopien von Microsoft Office und Parallels. Sobald man bei der Installation der manipulierten Software das Admin-Passwort des Macs eingibt, wird der Trojaner auf Systemebene installiert. Ohne Passworteingabe schafft es der Schädling hingegen nicht auf den Mac.
Einen zusätzlichen Schutz bietet außerdem Gatekeeper. Die ab Mac OS X Lion 10.7.5 verfügbare Funktion verhindert – sofern die Einstellungen nicht verändert wurden – das Ausführen von Programmen von nicht verifizierten Entwicklern. Die Einstellungen von Gatekeeper können unter Systemeinstellungen > Sicherheit > Apps-Download erlauben von überprüft werden. Reed hat die infizierten Dateien mit dem Online-Virenscanner VirusTotal überprüfen lassen. Die Daten werden dabei auf die Server des Dienstes hochgeladen und dort mit über 50 Antiviren-Programmen untersucht. Lediglich drei Antiviren-Engines haben dabei den Schädling entdeckt.
Ist mein Mac infiziert?
Der Trojaner wird im Ordner /Library/Application Support/JavaW installiert. Die Bezeichnung Java dient dabei offenbar nur als Tarnung. Reed konnte keine Hinweise dafür finden, dass iWorm eine Java-Sicherheitslücke ausnutzt. Wie oben beschrieben scheint die Installation rein durch den Nutzer zu erfolgen, eine Drive-by-Infektion ist nicht möglich. Wer trotzdem überprüfen möchte, ob iWorm auf dem eigenen Mac installiert ist, muss lediglich nach dem betreffenden Ordner suchen. Ist dieser nicht vorhanden, wurde iWorm auch nicht installiert. Am einfachsten wird dies überprüft, indem der Finder geöffnet und in der Menüleiste oben Gehe zu > Gehe zum Ordner … ausgewählt wird. Wird nach einer Eingabe des Pfades (einfach den Pfad oben kopieren und in die Suchmaske eingfügen) angezeigt, dass der Ordner nicht gefunden wurde, ist der Mac nicht befallen.
Erscheint im Finder dieses Fenster, ist iWorm nicht installiert.
XProtect aktualisiert
Apple hat gestern außerdem den seit Snow Leopard integrierten Schädlings-Schutz XProtect aktualisiert, um weiteren Schaden durch iWorm zu verhindern. Das Update wird – sofern die Einstellungen nicht verändert wurden – vollautomatisch im Hintergrund geladen, eine gesonderte Information an den Nutzer erfolgt nicht. Die Einstellungen zur automatischen Aktualisierung von XProtect befinden sich bis Mountain Lion unter Systemeinstellungen > Sicherheit > Erweitert (zuvor über das Schloss entsperren) > Liste für sichere Downloads automatisch aktualisieren. Unter Mavericks ist der Menüpunkt zu Systemeinstellungen > App Store > Systemdatendateien und Sicherheits-Updates installieren gewandert. Beide Häkchen sollten gesetzt sein.
Wer überprüfen möchte, ob XProtect auf seinem Gerät tatsächlich aktualisiert wurde, muss einen Blick in die XProtect-Datenbank werfen (keinesfalls Veränderungen an den Dateien vornehmen!). Dazu zum Ordner /System/Library/CoreServices navigieren (am einfachsten über die weiter oben genannte „Gehe zum Ordner …“-Funktion) und bei CoreTypes.bundle mit Rechtsklick auf Paketinhalt zeigen klicken. Unter Contents/Resources befindet sich die XProtect.plist. Nach einem Öffnen der Datei in der Suchfunktion „iWorm“ eingeben, es sollten drei Ergebnisse gefunden werden (iWorm.A, iWorm.B, iWorm.C). Der Mac sollte vor weiteren Angriffen des Trojaners geschützt sein, eine Installation von iWorm ist nicht möglich.
Die XProtect-Datenbank wurde gestern von Apple aktualisiert.Weitere Informationen zu den in OS X eingebauten Sicherheitsfunktionen Gatekeeper und XProtect gibt es in den verlinkten Support-Artikeln von Apple.
Via Dr. Web, The Safe Mac (1|2)
... selbst beim Ringtausch in der Family ist ein Reset auf Werkseinstellungen das erste was überhaupt passiert.
