922116

'Mac-Virus' löscht Daten

13.05.2004 | 15:50 Uhr |

Wie Intego und Macworld UK berichten, kursiert in Tauschbörsen ein neuer 'Mac-Virus' der heimtückisch ganze User-Verzeichnisse löschen soll.

Wie Macworld UK am Mittwoch berichtete, kursiert in der unter Mac-Anwendern beliebten Tauschbörse Gnutella eine Word-2004-Installationsdatei. Laut Macworld hatte sich ein Mac-Anwender eine "Demo-Version" von Word 2004 heruntergeladen: Der Doppelklick öffnete kein Microsoft Word sondern löschte seinen Benutzerordner.

Wie uns heute ein Blick in das Tauschnetz verriet, ist ein gleichnamiges Programm immer noch zum Download zu finden. Da wir wissen, dass es sich offensichtlich nicht um eine Word-2004-Raubkopie handelt, können wir diese Datei ohne Verstoß gegen das Urheberrecht herunterladen und näher untersuchen. Die Datei nennt sich "Web-Installer Word 2004" und hat einen Dateiumfang von 48 KB. Um nicht ungewollt unsere Daten zu löschen wechseln wir dazu vorher den Account und legen einen Benutzer ohne Verwaltungsrechte an.
Öffnet man die als Stuffit-Archiv verpackte Datei mit Apple Script-Editor, findet man einen simplen Terminalbefehl, der einfach alle verfügbaren Daten löscht.

Der Befehl, als Programm verpackt und mit einem schicken Icon versehen, gelangte in das Gnutellanetz. Klickt man auf dieses vermeintliche Installationsprogramm, löscht die Anweisung das Home-Verzeichnis - also alle Benutzerdaten wie E-Mails, Dokumente oder MP3s. Bei unserer Testkonfiguration konnte das Skript allerdings keine Dateien löschen. Technisch gesehen ist dieser 'Virus' nicht sehr aufwändig, der verwendete Terminalbefehl rm ist ein Standardbefehl, um Dateien zu löschen. Gefährlich ist allerdings die Verpackung als Apple-Script, die viele unvorbereitete Anwender täuschen kann. Man muss geschädigten Tauschbörsennutzern allerdings vorwerfen, auf eine illegale Word-Kopie spekuliert zu haben und dabei die Risiken ignoriert zu haben.

Virus oder Malware?

Nachdem unsere Kollegen von Macworld UK den Virenschutzhersteller Intego von der hinterhältigen Datei benachrichtigt haben, hat die Softwarefirma das Programm als AS.MW2004.Trojan in ihre Security-Liste aufgenommen. Nach gängigen Definitionen handelt es sich nicht um einen Virus, da sich das Programm nicht weitervermehrt, also an andere Personen verschickt. Diesen Standpunkt vertrat jetzt auch Apple in einer ersten Stellungnahme gegenüber Macworld UK. Genau genommen ist das Program aber auch kein Trojaner, da es nicht zusammen mit einem "nützlichen" Programm mitinstalliert wird. Es gehört eher zur großen Familie der Malware, die alle Betriebssysteme seit Jahrzehnten heimsucht und auf social engineering setzt.
Eine gewisse Ähnlichkeit hat das Prinzip mit dem alten Brieftaschen-Trick: Ein Passant sieht auf dem Boden eine Brieftasche liegen und will sie aufheben. Plötzlich zieht jemand an einer Schnur und man wird ausgelacht.

Apple kann man im Grunde keine Sicherheitslücken vorwerfen. Würde man anfangen "gefährliche" Programme wie rm deaktivieren, müsste Apple auf die problemlose Integration von Unix und Mac-OS X verzichten. Gerade die Möglichkeit Unix-Befehle einfach in eine Programmoberfläche zu verpacken ist aber eine der Stärken von Mac-OS X. Man sollte die potentielle Gefährdung durch derartige Programme nicht unterschätzen, die Gefahr für den Normalanwender ist aber doch relativ gering.

Der angebrachte Schutz

Wenn Sie eine Datei oder eine Programmdatei von einer verdächtigen Quelle erhalten, sollten Sie diese nicht ungeprüft öffnen. Besonders Programme aus Tauschbörsen oder per E-Mail unaufgefordert zugesandte Dateien sind potentiell gefährlich.

0 Kommentare zu diesem Artikel
922116