« iPhone 3G S: Die ersten Auspackfotos | Start | iPhone 3G S: Kein HSUPA »

12.06.2009

Alter Trick, variierende Trojaner: Fehlende Videocodecs als Lockmittel

Seit 2007 treibt der Trojaner OSX.RSPlug sein Unwesen und verbiegt die DNS-Einträge eines infizierten Macs, so dass beispielsweise der Aufruf von paypal.com stattdessen auf eine Paypal-imitierende Phishingseite führen könnte. OSX.RSPlug.A versteckte sich ursprünglich auf unanständigeren Videoseiten und bot sich als angeblich fehlender Videocodec zur schnellen Installation an - entsprechend wurde er mit dem Schlagwort des 'Porno-Trojaners' belegt, obwohl er in seinen Variationen schon bald auf völlig anständig wirkenden Seiten auftauchte und sich als Codec zum Abspielen von harmlosen HD-Videos andiente.
Dieser uralte Trick wird derzeit angeblich benutzt, um eine überarbeitete Fassung des Trojaners zu verbreiten, den Sophos OSX/Jahlav-C nennt. Dieser findet sich nach der Installation unter /Library/Internet Plugins in Form eines Shellskripts mit dem Namen 'AdobeFlash'. Dieses wiederum wird regelmäßig ausgeführt und nimmt Kontakt zu einem Server auf, der weiteren Schadcode zum Nachladen bereitzustellen vermag. Derzeit wird auch diese Variante wohl weiterhin benutzt, um die DNS-Einträge von Mac OS X auf Geheiß der Malware umzubiegen.
Sophos stuft die Verbreitung derzeit als eher gering ein, doch die Langlebigkeit und Vehemenz dieser Methode sollte daran erinnern, dass ein kleiner Anteil an Malware sehr wohl auf Mac-Nutzer abzielt und sich dafür der üblichen Tricks bedient - vorgeblich fehlende Videocodecs o.ä. bleiben eins der beliebtesten Lockmittel, um Nutzer bereitwillig zur Installation eines Trojaners zu verleiten. Die andere Variante, mit der sich Mac-Nutzer unlängst konfrontiert sahen, ist das Verstecken des Trojaners in stark nachgefragter Software aus torrentiger Quelle - damals war es iWork '09, derzeit würde sich Snow Leopard Build 10A380 und iPhone OS 3.0 GM hervorragend anbieten.

Posted by Leo at 10:37 | Permalink

TrackBack

TrackBack-Adresse für diesen Eintrag:
https://www.typepad.com/services/trackback/6a00d83451c7b569e201157005c55c970c

Listed below are links to weblogs that reference Alter Trick, variierende Trojaner: Fehlende Videocodecs als Lockmittel:

Kommentare

Feed You can follow this conversation by subscribing to the comment feed for this post.