Windows-Malware in Apples App Store gesichtet

Eine Windows-Malware hat es in den App Store für iOS geschafft. In einem Apple-Diskussionsforum weist ein User namens „deesto“ darauf hin, dass der Virenscanner ClamXav im Programm Instaquotes Quotes Cards for Instagram eine Malware namens Worm.VB-900 meldet. Apple hat die App inzwischen entfernt.

Zuerst war man von einer Falschmeldung des Virenscanners ausgegangen. In Tests stellte sich aber heraus, dass auch Symantecs Gratislösung iAntivirus für Mac OS zwei Dateien innerhalb der Datei instaquotes.ipa findet. Das im App Store genutzte .ipa-Format ist – ähnlich .zip – nur ein Wrapper für alle benötigten Ordner und Dateien einer App.

Entpackte man die Datei instaquotes.ipa (was etwa mit dem Paket-Manager Pacifist möglich ist), finden auch andere Antivirenlösungen wie die von Sophos den Virus und identifizieren sie als „Mal/CoiDung-A„. Der in Visual Basic geschriebene Wurm installiert sich im Windows-Systemordner und nimmt Änderungen an der Registry vor, um beim nächsten Neustart Schadcode ausführen zu können.

Ein Versuch, die ausführbare Virendatei in einem virtualisierten Windows zu starten, resultierte in einer sofortigen Erkennung durch Microsoft Security Essentials, das die Malware umgehend entfernte. Kein Wunder – das Schadprogramm stammt von 2009.

Das Programm stellt keine Bedrohung für Geräte unter iOS oder Mac OS dar. Wie es auf einem Windows-Gerät zur Ausführung gelangen könnte, außer durch einen besonders neugierigen Anwender, ist derzeit unklar.

Es ist nicht das erste Mal, dass eine Malware den Weg in Apples App Store findet. Dieses Jahr hatte Kaspersky Lab dort schon eine Daten sammelnde Schad-App namens „Find & Call“ entdeckt. Dieser Trojaner wurde wie jetzt Instaquotes von Apple umgehend entfernt.

[mit Material von Topher Kessler, News.com]