Intego meldet neuen Mac-Trojaner

Sicherheitsforscher von Intego haben eine neue Variante des Trojaners Imuler für Mac OS X entdeckt. Die ZIP-Datei mit Imuler.C gibt vor, sie enthalte Nacktfotos von Models: nämlich „Pictures and the Ariticle of Renzin Dorjee.zip“ oder „FHM Feb Cover Girl Irina Shayk H-Res Pics.zip“.

Die Angreifer setzen darauf, dass Mac OS X die volle Dateiendung standardmäßig nicht anzeigt. So können Bilder-Icons in der Vorschau plausibel präsentiert werden.

Führt man die Malware unvorsichtigerweise aus, installiert sie unter /tmp/.mdworker eine Backdoor. Dann startet ein Prozess .mdworker, der dem Namen nach an Spotlights Indexdienst mdworker (ohne voranstehenden Punkt) erinnert. Weiter pflanzt die Software einen Start-Agenten und eine ausführbare Datei in das Verzeichnis ~/library/LaunchAgents/checkvir.plist, sodass die Malware künftig bei jedem Bootvorgang startet. Der Prozess .mdworker ist bei künftigen Starts nicht mehr vorhanden.

Die Malware sucht nach Anwenderdaten, die sie an ihren Kommandoserver schicken kann. Außerdem erstellt sie Screenshots und vergibt für jeden Mac, aus dem sie läuft, eine einmalige ID, um ihn von allen anderen Systemen unterscheiden zu können. Weiter kann sie sich übers Internet aktualisieren.

Endanwendern rät Intego, die vollständige Darstellung von Dateinamen zu aktivieren, um zwischen Bildern und ausführbaren Dateien unterscheiden zu können. Verdächtige Dateianhänge lassen sich zudem über den Dienst VirusTotal auf Malware prüfen.

[mit Material von Dancho Danchev, ZDNet.com]