DrWeb entdeckt ein Botnetz aus einer halben Million Macs

Seit letztem Herbst mehrten sich Berichte über einen Mac-Trojaner, der sich als Flash-Installer tarnt. Die Schadsoftware nutzte eine Sicherheitslücke in Java aus in installierte sich bei älteren Systemen oder auf dem Rechner ohne aktuelle Sicherheitsupdates von Apple gar ohne Admin-Passwort. Erst gestern hat Apple ein Update für die Java-Lücke bereitgestellt.

Die russische Antivirus-Firma DrWeb hat gleichzeitig dazu berichtet, ein großes Botnetz aus infizierten Macs entdeckt zu haben. Die Mehrheit aller betroffenen Rechner steht in den USA (knapp 57 Prozent), gefolgt von Kanada (20 Prozent). Gleich 274 solche Rechner konnten die Entwickler von DrWeb direkt nach Cupertino zurückverfolgen.

Die Schadsoftware nutzt drei relativ aktuelle Java-Sicherheitslücken CVE-2011-3544, CVE-2008-5353 und CVE-2012-0507. Besucht der Nutzer eine verseuchte Seite im Internet, wird von dieser Seite im Browser des Benutzers ein Java-Applet mit dem Exploit hochgeladen. Der Trojaner installiert sich auf die Festplatte, danach durchsucht die Schadsoftware das System nach folgenden Anwendungen: Little Snitch, Xcode, Virus Barrier, iAntiVirus, avast!, ClamXav, HTTPScoop oder Packet Peeper. Findet der Trojaner diese Anwendungen nicht, baut das Programm eine Liste aus mehreren Botnetz-Operatoren und sendet dorthin eine Meldung über die erfolgreiche Installation.

Als erstes muss man das aktuelle Sicherheitsupdate von Apple installieren. Dies bedeutet, dass man vor der aktuellen Schadsoftware BackDoor.Flashback.39 relativ sicher ist. War der eigene Rechner davor schon mit dem Trojaner infiziert, muss man das System überprüfen. Dafür startet man Terminal und gibt dort zwei Befehle ein:

Gibt nach der Befehlseingabe Terminal eine Fehlermeldung wie "The domain/pair .... does not exist", ist der Mac nicht infiziert. Ist es nicht der Fall und Terminal meldet die Schadsoftware auf dem Rechner, bringt die Sicherheitsfirma F-Secure eine genaue Anleitung, wie man den Trojaner wieder los wird.