iWorm konnte sich auch in Europa verbreiten (Bild: Dr. Web).
Apples Malware-Erkennung XProtect kann dank aktualisierter Malware-Signaturen jetzt auch „iWorm“ entdecken und entfernen. Die vom russischen Sicherheitsspezialisten Dr. Web in der letzten Woche gemeldete Malware Mac.BackDoor.iWorm soll inzwischen bereits über 18.500 Macs infiziert haben.
Etwa ein Viertel der infizierten Macs versuchte sich aus den USA mit Kontrollservern zu verbinden, aber auch Großbritannien und Kanada waren mit jeweils 1200 Rechnern dabei. Unklar ist jedoch noch immer, auf welchen Wegen sich die Schadsoftware verbreitet.
Wie Dr. Web herausfand, wurde die Malware mit C++ sowie Lua entwickelt und nutzt Verschlüsselung in großem Umfang. Während der Installation entpackt sie sich in /Library/Application Support/JavaW und generiert eine P-List-Datei, um für den automatischen Start der Hintertür zu sorgen. iWorm öffnet dann einen Port und versucht, sich mit einem Kontrollserver zu verbinden. Eine gewisse Raffinesse zeigt sich darin, dass das Programm verfügbare Kontrollserver über eine Suche in der Social-News-Site reddit.com zu ermitteln sucht. Die Hintermänner verstecken offenbar wechselnde Serveradressen in dort veröffentlichten Kommentaren.
Dr. Web war auch die Sicherheitsfirma, die den im Jahr 2012 weit verbreiteten Mac-Trojaner Flashback entdeckte, auf den Apple zögerlich reagierte. Die Malware konnte daher rund 600.000 Macs infizieren, bevor Apple ein Tool für ihre Entfernung bereitstellte.
Apple reagiert auf Bedrohungen durch neue Schadsoftware regelmäßig durch aktualisierte Malware-Signaturen für das in OS X integrierte XProtect. Der Hersteller macht nicht öffentlich, wenn es neue Signaturen hinzufügt, aber neugierige Tüftler können sie ermitteln. Entdeckt wurde die neu hinzugekommene iWorm-Abwehr zuerst von MacRumors.
ZDNet.com konnte bestätigen, dass XProtect.plist am 4. Oktober aktualisiert wurde mit Definitionen für drei Varianten von iWorm, die als OSX.iWorm.A, OSX.iWorm.B sowie OSX.iWorm.C bezeichnet werden.. Derzeit enthält die Liste Definitionen für insgesamt rund 40 Schadprogramme. Apple nutzt das Feature außerdem, um auf Macs veraltete Versionen von Flash und Java zu blockieren, die Hacker oft als Einfallstor nutzen.
[mit Material von Liam Tung, ZDNet.com]
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
