Intego warnt vor neuem Mac-Trojaner

Das Sicherheitsunternehmen Intego warnt vor einer neuen Variante des am 22. Oktober entdeckten Mac-Trojaners iServices, die mit Raupkopien von Adobe Photoshop CS4 für Mac verteilt wird. Der Schädling namens OSX.Trojan.iServices.B befindet sich in einer Crack-Datei und ermöglicht Angreifern nach der Ausführung die vollständige Kontrolle über infizierte Rechner.

Zunächst installiert sich ein Backdoor-Trojaner im Verzeichnis „/var/tmp“, das bei einem Neustart nicht gelöscht wird. Anschließend fordert die Crack-Datei den Nutzer zur Eingabe seines Administrator-Passworts auf, um den Trojaner mit Root-Rechten auszuführen und ihn in das Verzeichnis „/usr/bin/DivX“ zu kopieren. Dann wird unter der Bezeichnung „DivX“ ein Autostart-Eintrag angelegt. Letztlich hebt das Programm auch den Kopierschutz von Photoshop auf und macht es voll funktionsfähig.

Der Trojaner nimmt per Internet Kontakt zu einem Server auf, über den ein Angreifer Zugang zum infizierten System erhält und weitere Schadsoftware installieren kann. Intego schätzt, dass bereits rund 5000 Mac-Nutzer die verseuchte Photoshop-Version via Bittorrent heruntergeladen haben.

Eine erste Version des Trojaners war vergangene Woche in Raubkopien von Apple iWork ’09 aufgetaucht. Sie soll über 20.000-mal heruntergeladen worden sein.

Berichte über Schädlinge für das Apple-Betriebssystem Mac OS X sind eher selten. Einen Support-Artikel, in dem Apple Anfang Dezember seine Kunden zur Installation von Schutzprogrammen aufgefordert hatte, hatte das Unternehmen kurze Zeit später als irreführend bezeichnet und wieder zurückgezogen.