Websektor.ch - zeitgemässer Unterricht

MAC OS
iPAD
UNTERRICHT
MEDIENBILDUNG
Fit - Bit für Bit!



OSX.RSPlug.A Mac Trojaner

Der Sicherheitssoftware-Hersteller Intego warnt vor einem Trojaner, der Mac OS X angreift.

Laut Macworld-Autor Rob Griffiths handelt es sich bei OSX.RSPlug.A offensichtlich nicht um einen harmloses Würmchen, sondern um einen tatsächlichen Schädling.

OSX.RSPlug.A scheint bisher von bestimmten Pornoseiten auszugehen und versucht, den User auf Phising-Sites zu locken, um dort an wichtige Daten des Users zu gelangen.

Vorgehen des Trojaners:



  • jemand sucht beispielsweise nach »Nackte Frauen«, findet ein Video, klickt es an und erhält eine Meldung, dass eine spezielle Datei (ein Videocodec) fehlt, ohne die das Video nicht angesehen werden kann.
  • ein Disk Image namens »Ultracodec4313.dmg« wird heruntergeladen,darin soll die fehlende Datei enthalten sein.
  • Wenn das automatische Öffnen »sicherer Dateien« in Safari aktiviert ist oder wenn du auf den Installer klickst, wird der Trojaner installiert.
Name und der Fundort dieser Datei kann und wird sich in Zukunft ändern.
  • der Trojaner leitet die DNS-Einstellungen des Mac auf eine beliebige andere Website um: wer z.B. www.paypal.de eintippt, kann auf eine Paypal-Doppelgängerseite umgeleitet werden, die ihn um seine geheimen Kontodaten erleichtert.
  • ein automatischer cron-Job wird angelegt, der die falsche DNS-Einstellung restauriert, falls sie geändert werden sollte.

Diese Änderung der DNS kann nicht ohne weiteres festgestellt werden, so dass der Trojaner sein Werk ungestört fortsetzen kann. Ob man sich OSX.RSPlug.A eingefangen hat, lässt sich laut Rob Griffiths am einfachsten so feststellen:
Wenn das Verzeichnis /Library/Internet Plug-Ins (das im Top Level des OSX, nicht das Library-Verzeichnis im User-Directory) eine Datei namens plugins.settings enthält, weist das auf eine Infektion hin. Da dieser Name natürlich ebenfalls in Zukunft geändert werden kann, sollte man weitere Punkte prüfen:
man öffne das Terminal (im Verzeichnis Programme/Dienstprogramme) und tippe dort ein:
sudo crontab -l.
Das Administrator-Passwort wird abgefragt, und das Ergebnis dieser Suche nach cron-Jobs gelistet. Wenn sich darunter
* * * * * “/Library/Internet Plug-Ins/plugins.settings">/dev/null 2>&1
befindet, hat man sich den Schädling eingefangen.
Rob Griffiths zeigt in seinem Artikel weiterhin, wie man scutil abfragt, ein Interface zu einem OS X-Systemdienst, um völlig sicher zu gehen.

Sollte das System befallen sein, kann OSX.RSPlug.A wie folgt entfernt werden:
man lösche die Datei plugins.settings im Verzeichnis /Library/Internet Plug-Ins und leere den Papierkorb.
man tippe
sudo crontab -r ins Terminal ein und bestätige durch Angabe des Admin-Passworts.
Die Abfrage
sudo crontab -l sollte mit crontab:
no crontab for root bestätigen, dass der cron-Job gelöscht wurde.
man öffne die Systemeinstellungen, öffne dort »Netzwerk« und dort den Tab »DNS«. Man merke sich die dort stehende Angabe, lösche sie und tippe sie erneut ein.
  • man reboote den Mac

Wie bei dem mythologischen Holzpferd, mit dem die Griechen die Trojaner überlisteten, sind die Erfolgsaussichten von OSX.RSPlug.A gut, wenn der Angegriffene seine Neugierde nicht im Zaum halten kann. Die schon abgegriffene Warnung gilt immer noch: niemals eine Software aus einer unklaren Quelle installeren - besonders wenn sie als Installer-Paket erscheint und nach dem Administrator-Passwort fragt. OSX.RSPlug.A scheint nach den vorliegenden Informationen ein echter, gefährlicher Schädling zu sein, der möglicherweise nicht nur auf Pornoseiten auftauchen wird, sondern auch auf Videoseiten oder anderen hochfrequentierten Plätzen des Web.
Vielen Dank an MAc Essentials für diesen Tipp! Original bei Mac Essentials

  

Kommentare

0 Kommentare gefunden,  Neuen Kommentar hinzufügen

Neuen Kommentar hinzufügen

Bitte tragen Sie noch den Prüfcode ein. Dieser dient dazu automatisch generierte Spameinträge zu verhindern.





Bitte beachten:

Websektor wird baldmöglichst abgeschaltet.
Alle Inhalte werde ich auf
Unterricht-digital.ch neu aufbereiten.

Home

Unterricht-digital.ch

Medien und Informatik nach Lehrplan 21 !