IRC-Galerie

Erneut Trojaner in Apple-Software entdecktSonntag 30.08.2009 05:05 PM

In der vergangenen Woche hat der Sicherheitsdienstleister Intego die Alarmglocken hinsichtlich der via Peer-to-Peer Netzwerke verteilten Bürosuite iWorks '09 geläutet. Zu Beginn dieser Woche meldeten die Experten ein Trojanisches Pferd in Adobe Photoshop CS4.

gulli.com hat bereits vor einigen Tagen über den Vorfall mit dem OSX.Trojan.iServices in der Ausführung A Bericht erstattet. Schon zu diesem Zeitpunkt entstanden einige begründete Zweifel im Zusammenhang mit der von Intego veröffentlichten Meldung. Obwohl die Betriebssysteme aus dem Hause Apple langfristig weitgehend vor Schädlingen gefeit waren, tauchten in der Vergangenheit vereinzelt Gegenbeispiele auf. Sobald einer dieser besagten Einzelfälle auftrat, verbreitete sich die Meldung wie ein Lauffeuer in den Kreisen der Sicherheitsdienstleister.




In Bezug auf den von Intego entdeckten OSX.Trojan.iServices.A/B entwickelt sich die Lage anders. Neben einigen News-Meldungen auf verschiedensten Portalen gab es von anderen Sicherheitsexperten diesbezüglich äußerst wenig zu lesen. Diese Tatsache dürfte besonders überraschend sein, weil laut Intego doch bereits über 20.000 Apple-Kunden mit dem Schädling infiziert sein sollen.


Verbreitet wird die Variante B des iServices-Trojaner ebenfalls über P2P-Netzwerke wie BitTorrent. Der eigentliche Schadcode versteckt sich dabei nicht in der Anwendung selbst, sondern viel mehr im zugehörigen Crack, welcher das Programm mit einer notwendigen Seriennummer ausstattet und den Weg für den Einsatz ebnen soll. Beim Ausführen des besagten Cracks erscheint eine Abfrage des Root-Benutzernamens und des Kennworts. Neben dieser zunächst simplen Aktion passiert das eigentliche Schauspiel aber im Hintergrund. Der Schädling installiert eine Backdoor im Verzeichnis /var/tmp und legt eine weitere ausführbare Datei in /usr/bin/DivX ab. Nach der erfolgreichen Eingabe der Userkennung wird der relevante Hash in /var/root/.DivX abgelegt.

Laut Intego soll der Trojaner dann einen beliebigen TCP-Port auf dem System des Opfers öffnen. Dieser fungiert als mutmaßlicher Einstiegsport für den Angreifer. Wahrscheinlich soll darüber weiterer Schadcode auf dem Rechner eingeschleust werden. Bislang haben sich laut Intego mehr als 5000 Personen die infizierte Software aus den Tauschbörsen heruntergeladen. Wie es die Sicherheitsfirma immer wieder schafft, an so aussagekräftige Zahlen zu gelangen, ist uns schleierhaft aber nicht minder fragwürdig. (gS-)

(via PCWorld.com, thx!)

Du bist noch kein Mitglied?

Jetzt kostenlos mitmachen!

Als registrierter Nutzer könntest du...

...Kommentare schreiben und lesen, was andere User geschrieben haben.