OSX.RSPLUG.A MAC TROJANER
OSX.RSPlug.A Mac Trojaner
Der Sicherheitssoftware-Hersteller Intego warnt vor einem Trojaner, der Mac OS X angreift.
Laut Macworld-Autor Rob Griffiths handelt es sich bei OSX.RSPlug.A offensichtlich nicht um einen harmloses Würmchen, sondern um einen tatsächlichen Schädling.
OSX.RSPlug.A scheint bisher von bestimmten Pornoseiten auszugehen und versucht, den User auf Phising-Sites zu locken, um dort an wichtige Daten des Users zu gelangen.
Name und der Fundort dieser Datei kann und wird sich in Zukunft ändern.
Diese Änderung der DNS kann nicht ohne weiteres festgestellt werden, so dass der Trojaner sein Werk ungestört fortsetzen kann. Ob man sich OSX.RSPlug.A eingefangen hat, lässt sich laut Rob Griffiths am einfachsten so feststellen:
Wenn das Verzeichnis /Library/Internet Plug-Ins (das im Top Level des OSX, nicht das Library-Verzeichnis im User-Directory) eine Datei namens plugins.settings enthält, weist das auf eine Infektion hin. Da dieser Name natürlich ebenfalls in Zukunft geändert werden kann, sollte man weitere Punkte prüfen:
man öffne das Terminal (im Verzeichnis Programme/Dienstprogramme) und tippe dort ein:
sudo crontab -l.
Das Administrator-Passwort wird abgefragt, und das Ergebnis dieser Suche nach cron-Jobs gelistet. Wenn sich darunter
* * * * * “/Library/Internet Plug-Ins/plugins.settings">/dev/null 2>&1
befindet, hat man sich den Schädling eingefangen.
Rob Griffiths zeigt in seinem Artikel weiterhin, wie man scutil abfragt, ein Interface zu einem OS X-Systemdienst, um völlig sicher zu gehen.
Sollte das System befallen sein, kann OSX.RSPlug.A wie folgt entfernt werden:
man lösche die Datei plugins.settings im Verzeichnis /Library/Internet Plug-Ins und leere den Papierkorb.
man tippe
sudo crontab -r ins Terminal ein und bestätige durch Angabe des Admin-Passworts.
Die Abfrage
sudo crontab -l sollte mit crontab:
no crontab for root bestätigen, dass der cron-Job gelöscht wurde.
man öffne die Systemeinstellungen, öffne dort »Netzwerk« und dort den Tab »DNS«. Man merke sich die dort stehende Angabe, lösche sie und tippe sie erneut ein.
Wie bei dem mythologischen Holzpferd, mit dem die Griechen die Trojaner überlisteten, sind die Erfolgsaussichten von OSX.RSPlug.A gut, wenn der Angegriffene seine Neugierde nicht im Zaum halten kann. Die schon abgegriffene Warnung gilt immer noch: niemals eine Software aus einer unklaren Quelle installeren - besonders wenn sie als Installer-Paket erscheint und nach dem Administrator-Passwort fragt. OSX.RSPlug.A scheint nach den vorliegenden Informationen ein echter, gefährlicher Schädling zu sein, der möglicherweise nicht nur auf Pornoseiten auftauchen wird, sondern auch auf Videoseiten oder anderen hochfrequentierten Plätzen des Web.
Vielen Dank an MAc Essentials für diesen Tipp! Original bei Mac Essentials
Laut Macworld-Autor Rob Griffiths handelt es sich bei OSX.RSPlug.A offensichtlich nicht um einen harmloses Würmchen, sondern um einen tatsächlichen Schädling.
OSX.RSPlug.A scheint bisher von bestimmten Pornoseiten auszugehen und versucht, den User auf Phising-Sites zu locken, um dort an wichtige Daten des Users zu gelangen.
Vorgehen des Trojaners:
|
|
Diese Änderung der DNS kann nicht ohne weiteres festgestellt werden, so dass der Trojaner sein Werk ungestört fortsetzen kann. Ob man sich OSX.RSPlug.A eingefangen hat, lässt sich laut Rob Griffiths am einfachsten so feststellen:
Wenn das Verzeichnis /Library/Internet Plug-Ins (das im Top Level des OSX, nicht das Library-Verzeichnis im User-Directory) eine Datei namens plugins.settings enthält, weist das auf eine Infektion hin. Da dieser Name natürlich ebenfalls in Zukunft geändert werden kann, sollte man weitere Punkte prüfen:
man öffne das Terminal (im Verzeichnis Programme/Dienstprogramme) und tippe dort ein:
sudo crontab -l.
Das Administrator-Passwort wird abgefragt, und das Ergebnis dieser Suche nach cron-Jobs gelistet. Wenn sich darunter
* * * * * “/Library/Internet Plug-Ins/plugins.settings">/dev/null 2>&1
befindet, hat man sich den Schädling eingefangen.
Rob Griffiths zeigt in seinem Artikel weiterhin, wie man scutil abfragt, ein Interface zu einem OS X-Systemdienst, um völlig sicher zu gehen.
Sollte das System befallen sein, kann OSX.RSPlug.A wie folgt entfernt werden:
man lösche die Datei plugins.settings im Verzeichnis /Library/Internet Plug-Ins und leere den Papierkorb.
man tippe
sudo crontab -r ins Terminal ein und bestätige durch Angabe des Admin-Passworts.
Die Abfrage
sudo crontab -l sollte mit crontab:
no crontab for root bestätigen, dass der cron-Job gelöscht wurde.
man öffne die Systemeinstellungen, öffne dort »Netzwerk« und dort den Tab »DNS«. Man merke sich die dort stehende Angabe, lösche sie und tippe sie erneut ein.
|
Wie bei dem mythologischen Holzpferd, mit dem die Griechen die Trojaner überlisteten, sind die Erfolgsaussichten von OSX.RSPlug.A gut, wenn der Angegriffene seine Neugierde nicht im Zaum halten kann. Die schon abgegriffene Warnung gilt immer noch: niemals eine Software aus einer unklaren Quelle installeren - besonders wenn sie als Installer-Paket erscheint und nach dem Administrator-Passwort fragt. OSX.RSPlug.A scheint nach den vorliegenden Informationen ein echter, gefährlicher Schädling zu sein, der möglicherweise nicht nur auf Pornoseiten auftauchen wird, sondern auch auf Videoseiten oder anderen hochfrequentierten Plätzen des Web.
Vielen Dank an MAc Essentials für diesen Tipp! Original bei Mac Essentials
Bitte beachten:
Websektor wird baldmöglichst abgeschaltet.
Alle Inhalte werde ich auf
Unterricht-digital.ch neu aufbereiten.
Unterricht-digital.ch
Medien und Informatik nach Lehrplan 21 !
Kommentare
Neuen Kommentar hinzufügen