header
home news rumors macs iphone ipod ipad
monatsarchiv Podcast [iTunes-Abo] Videocast [iTunes-Abo] Apple-Feeds the lost 1984 videos
Die Medien über uns Wir über uns Mit uns werben Redaktions-E-Mail
Online-Preisvergleich
Alles für Ihren iPod und Mac finden Sie bei Twenga!


frischer mac-senf rudolf07 zu WePad - die Wunderwaffe der Verlage?
thomas b. zu WePad - die Wunderwaffe der Verlage?
potatoe zu WePad - die Wunderwaffe der Verlage?
Chat Munninger zu ProtzPad
Oliver B. zu Freitag, 19. März: Schlagzeilen

 

::: 01. November 2007

 OSX.RSPlug.A  

Wie bereits gestern abend berichtet, warnt der Sicherheitssoftware-Hersteller Intego vor einem Trojaner, der speziell Mac OS X attakiert. Der Macworld-Autor Rob Griffiths bestätigt nun nach eigenen Tests, dass es sich bei OSX.RSPlug.A nach den bisher vorliegenden Erkenntnissen nicht um die bisher üblichen, mehr oder weniger funktionslosen »Demonstrationen« handelt, sondern um einen tatsächlichen Schädling. OSX.RSPlug.A scheint bisher von bestimmten Pornoseiten auszugehen und versucht, den User auf Phising-Sites zu locken, um dort an wichtige Daten des Users zu gelangen.  Wie geht der Trojaner vor?

  • er setzt auf »Social Engineering«, also den »Faktor Mensch«: jemand sucht beispielsweise nach »Britney Spears nackt«, findet ein Video, klickt es an und erhält eine Meldung, dass eine spezielle Datei (ein Videocodec) fehlt, ohne die das Video nicht angesehen werden kann.
  • ein Disk Image namens »Ultracodec4313.dmg« wird heruntergelanden, die die fehlende Datei zu enthalten scheint. Wenn das automatische Öffnen »sicherer Dateien« in Safari aktiviert ist oder wenn man auf den Installer klickt, wird der Trojaner installiert. Der Name und der Fundort dieser Datei kann sich in Zukunft ändern.
  • der Trojaner biegt die DNS-Einstellungen des Mac auf eine beliebige andere Website um: wer z.B. www.paypal.de eintippt, kann auf eine Paypal-Doppelgängerseite umgeleitet werden, die ihn um seine geheimen Kontodaten erleichtert.
  • ein automatischer cron-Job wird angelegt, der die falsche DNS-Einstellung restauriert, falls sie geändert werden sollte.
Diese Änderung der DNS kann nicht ohne weiteres festgestellt werden, so dass der Trojaner sein Werk ungestört fortsetzen kann. Ob man sich OSX.RSPlug.A eingefangen hat, lässt sich laut Rob Griffiths am einfachsten so feststellen:
  • wenn das Verzeichnis /Library/Internet Plug-Ins (das im Top Level des OSX, nicht das Library-Verzeichnis im User-Directory) eine Datei namens plugins.settings enthält, weist das auf eine Infektion hin. Da dieser Name natürlich ebenfalls in Zukunft geändert werden kann, sollte man weitere Punkte prüfen:
  • man öffne das Terminal (im Verzeichnis Programme/Dienstprogramme) und tippe dort ein:  sudo crontab -l. Das Administrator-Passwort wird abgefragt, und das Ergebnis dieser Suche nach cron-Jobs gelistet. Wenn sich darunter * * * * * “/Library/Internet Plug-Ins/plugins.settings">/dev/null 2>&1 befindet, hat man sich den Schädling eingefangen.
  • Rob Griffiths zeigt in seinem Artikel weiterhin, wie man scutil abfragt, ein Interface zu einem OS X-Systemdienst, um völlig sicher zu gehen.
Sollte das System befallen sein, kann OSX.RSPlug.A wie folgt entfernt werden:
  • man lösche die Datei plugins.settings im Verzeichnis /Library/Internet Plug-Ins und leere den Papierkorb.
  • man tippe sudo crontab -r ins Terminal ein und bestätige durch Angabe des Admin-Passworts. Die Abfrage sudo crontab -l sollte mit crontab: no crontab for root bestätigen, dass der cron-Job gelöscht wurde.
  • man öffne die Systemeinstellungen, öffne dort »Netzwerk« und dort den Tab »DNS«. Man merke sich die dort stehende Angabe, lösche sie und tippe sie erneut ein.
  • man reboote den Mac
Wie bei dem mythologischen Holzpferd, mit dem die Griechen die Trojaner überlisteten, sind die Erfolgsaussichten von OSX.RSPlug.A gut, wenn der Angegriffene seine Neugierde nicht im Zaum halten kann. Die schon abgegriffene Warnung gilt immer noch: niemals eine Software aus einer unklaren Quelle installeren - besonders wenn sie als Installer-Paket erscheint und nach dem Administrator-Passwort fragt. OSX.RSPlug.A scheint nach den vorliegenden Informationen ein echter, gefährlicher Schädling zu sein, der möglicherweise nicht nur auf Pornoseiten auftauchen wird, sondern auch auf Videoseiten oder anderen hochfrequentierten Plätzen des Web. 

Werbung

01.11.07 - 6:45 Uhr von Redaktion | Permalink | Rubrik OS X  | 21 Kommentar(e), 1941x besichtigt | IRC-Chat | E-Mail an die Redaktion |
RSS 2.0 Atom Podcast Add to Google
Werbung
Apple Store iPhone Store iPod Store iTunes Store Amazon Store

Werbung

Der Macintosh ist katholisch: das Wesen der Offenbarung wird in einfachen Formeln und prachtvollen Ikonen abgehandelt. Jeder hat das Recht auf Erlösung.
(Umberto Eco)

I don't do .INI, .BAT, or .SYS files. I don't assign apps to files. I don't configure peripherals or networks before using them. I have a computer to do all that. I have a Macintosh, not a hobby.
(Fritz Anderson)

Mir doch Blunzn, was für ein Prozessor drin ist, solange ein Apple drumrum ist!
(Jacqueline Godany)

Ich bin ein Bewohner des digitalen kleinen gallischen Dorfs. Ein Mac-User. Ich habe ein Betriebssystem, das nach einem Raubtier benannt ist, nicht nach einem Rind.
(Peter Glaser)
Never ask a man what kind of computer he drives. If its a Mac, he'll tell you. If not, why embarrass him?
(Tom Clancy)

It is true that I have a great admiration for the elegances and brilliances that have emerged from my favourite address in the world: 1 Infinite Loop, Cupertino, California, the home of Apple Computers.
(Stephen Fry)

The Macintosh may only have 10 5 3 2,5 3 5 % of the market, but it is clearly the top 10 5 3 2,53 5 %!
(Douglas Adams)

Mac Essentials - a place for news and conversation.
   ©2006 TextLab text+media | Impressum | Presse | Haftungsausschluß | Page rendered in 1.3055 seconds | 37 queries executed -->