« 10.5: Eine Liste mit lieblichen Feinheiten | Start | Leopard Server erlaubt die eigene Virtualisierung (auf Apple-Hardware) »
31.10.2007
OSX.RSPlug.A: Integos legitime Trojaner-Warnung
Bildquelle: SunbeltBlog.
Intego besudelte sich mit seinen bisherigen Trojaner-Warnungen nicht gerade mit ewigem Ruhm (Beweisstück 1, 2), doch der aktuelle Hinweis des Herstellers von Sicherheitssoftware für den Mac ist durchaus ernstzunehmen: Auf "mehreren" nicht näher genannten Porn-Seite wird ein fehlender Video-Codec vorgegaukelt, der vorgeblich benötigt wird, um ein minder anständiges Video anzusehen: «Quicktime Player is unable to play movie file. Please click here to download new version of codec.» Der enthaltene Downloadlink befördert ein gewöhnliches DMG ("Ultracodec4313.dmg") auf die eigene Festplatte. Ist das automatische Öffnen "sicherer" Dateien in Safari aktiviert, wird das Disk Image geöffnet, das enthaltene install.pkg im Installer (von Mac OS X) geöffnet und zur Eingabe des Passworts aufgefordert (selbiges passiert natürlich auch nach manuellem Öffnen des DMGs und Doppelklick auf install.pkg). Wer nun in freudiger Erregung mit der Installation fortfährt, fängt sich den Trojaner ein, der an den eingestellten DNS-Servern des Macs herumpfuscht und diese nach eigenen Vorstellungen umleitet. Die Konsequenz ist, dass anschließende Aufrufe von z.B. paypal.com auf Phishing-Varianten umleiten, um dort die eingegeben Daten des unbedarften Nutzers abzugreifen. Ein cron job wird außerdem angelegt, der die schlechten DNS-Einstellungen zurückbringt, falls diese geändert werden sollten. Ob eine Infektion bereits stattgefunden hat, lässt sich über den Blick in /Library/Internet Plug-Ins feststellen, liegt dort eine Datei namens plugins.setting dürfte dies der Fall sein. Zudem sollte überprüft werden, ob der cron job angelegt wurde - dafür tippe man ins Terminal sudo crontab -l, nach Eingabe des Passworts werden die angelegten cron jobs aufgelistet. Ist darunter * * * * * "/Library/Internet Plug-Ins/plugins.settings">/dev/null 2>&1, befindet sich der Trojaner im System. Rob Griffiths erklärt in seinem sehr ausführlichen Artikel zum Thema (der die Grundlage für obige Zeilen war) wie sich selbiger -falls tatsächlich vorhanden- per Terminal entfernen lässt. Die Moral bleibt stets dieselbe: Programme, Plugins, Codecs etc., die als Installer daherkommen und ein Passwort wollen, sollten grundsätzlich gemieden werden und insbesondere dann, wenn die Quelle eine etwas grauere oder rötlichere Örtlichkeit des Interwebs ist.
Posted by Leo at 22:03 | Permalink