OSX.RSPlug.A ändert lokale DNS-Einstellungen

Intego warnt vor Porno-Trojaner für Mac OS X [Upd.]

Mac OS X ist im Vergleich mit anderen Betriebssystemen ein äußerst sicheres System, dennoch finden sich hin und wieder auch hier Sicherheitslücken. Intego warnt vor einem ernstzunehmenden Trojaner namens "OSX.RSPlug.A" für Mac OS X.

Von   Uhr

Der Trojaner soll sich auf diversen Internetseiten mit pornografischen Inhalten befinden. Besucht der Anwender eine verseuchte Seite, wird er benachrichtigt, dass zum Abspielen kostenloser Filme ein Video-Codec benötigt werde, der mit einem Mausklick installiert werden könne:

Quicktime Player is unable to play movie file.

Please click here to download new version of codec.

Klickt der Anwender auf den angebotenen Link, lädt der Browser eine Datei , die automatisch geöffnet wird, wenn es beispielsweise in Safari in den Einstellungen so angegeben ist. Falls nicht, verharrt die Datei an geladenen Ort und wird erst durch Doppelklick durch den Anwender aktiviert. In der Image-Datei befindet sich eine Installationsdatei namens "install.pkg", erst wenn der Anwender diese Datei doppelt klickt und ihre mit seinem Adminstratorpasswort Rechte einräumt, wird der Trojaner installiert und aktiviert.

Ein Video-Codec wird dadurch nicht installiert und auf der zuvor angesprochenen Seite sind immer noch keine Filme zu sehen.

Der Trojaner verändert mithilfe des "scutil"-Befehls die DNS-Einstellungen des Mac und führt den Anwender zu Seiten, die bekannten Seiten wie eBay, PayPal etc. ähneln und fängt auf diese Weise die Anwendereingaben ab, wenn dieser den Unterschied nicht bemerkt.

Unter Mac OS X 10.4 ist es laut Intego nicht möglich, die veränderten DNS-Einstellungen in den Systemeinstellungen zu sehen. Unter 10.5 Leopard ginge dies mithilfe der fortgeschrittenen Netzwerkeinstellungen. Würden die Eingaben verändert, stelle eine vom Trojaner installierte, minütlich ablaufende Routine in crontab die verfälschten DNS-Einstellungen wieder her.

Intego empfiehlt - wenig überraschend - den Einsatz der hauseigenen Software VirusBarrier X4 mit aktuellen Virusdefinitionen. Außerdem werden alle Anwender angehalten, auf keinen Fall Software von wenig vertrauenserweckend wirkenden Seiten zu installieren. [Update] Eine Anleitung zum Aufspüren und Entfernen der Schadsoftware finden Sie auf der folgenden Seite.

 

  • Seite 1: Intego warnt vor Porno-Trojaner für Mac OS X [Upd.]
  • Seite 2:

Mehr zu diesen Themen:

Diskutiere mit!

Hier kannst du den Artikel "Intego warnt vor Porno-Trojaner für Mac OS X [Upd.]" kommentieren. Melde dich einfach mit deinem maclife.de-Account an oder fülle die unten stehenden Felder aus.

Die Kommentare für diesen Artikel sind geschlossen.