1739064

Yontoo.1: Neuer Trojaner für den Mac

21.03.2013 | 14:31 Uhr |

Die russische SIcherheitsfirma Dr.Web warnt vor einer neuen Art des Mac-Trojaners Yontoo.1. Der Schädling tarnt sich als Safari-Erweiterung oder Firefox-Plugin für Video-Inhalte.

Zwar erscheinen die Meldungen der Sicherheitsfirmen über die neue Schadsoftware wie eine Werbung in eigener Sache, doch mitunter sind Viren-Experten deutlich schneller beim Entdecken neuer Botnetze oder Viren und Trojaner. So berichtet Dr. Web in seinem Firmen-Blog über einen Mac-Trojaner, den die Experten Trojan.Yontoo.1 getauft haben. Der Schädling tarnt sich als ein Media-Player oder ein Videoplayer-Zusatz. Die Angreifer haben extra dafür gefälschte Webseiten mit neuen Film-Trailern eingerichtet.

Besucht ein Nutzer eine solche Seite und will ein Video abspielen, meldet der Mac-Browser, dass ein Plugin fehlt und bietet den Download-Link für die passende Erweiterung bzw. das passende Addon. Bei dem Installationsprozess tarnt sich der Schädling als ein Programm "Free Twit Tube"; einmal auf dem Rechner installiert, kann man in Safari beispielsweise die Erweiterung "Yontoo 1.0" finden.

Der neue Trojaner tarnt sich als eine Safari-Erweiterung.
Vergrößern Der neue Trojaner tarnt sich als eine Safari-Erweiterung.
© Dr. Web

Den Trojaner gibt es für Safari, Firefox for Mac und Chrome for Mac - den meist verbreiteten Browsern der Mac-Nutzer. Einmal auf dem Rechner installiert kann Yontoo.1 die Daten des Nutzers an die entfernten Server schicken. Zusätzlich dazu fügt der Trojaner einen fremden Code den besuchten Seiten ein. Dies bewirkt beispielsweise, dass sich auf den Herstellerseiten wie Apple die Werbung anderer Shops einblendet.

Infizierte Rechner blenden dann unerwünschte Werbung ein.
Vergrößern Infizierte Rechner blenden dann unerwünschte Werbung ein.
© Dr. Web

Wie schützt man sich gegen Trojaner?

Noch hat Apple seine Xprotect-Liste und Xprotect.Meta.Plist nicht aktualisiert, sprich, das System kann noch nicht erkennen, dass es mit einem Schädling zu tun hat. Dafür lohnt es sich, die Listen mit installierten Adonns in Firefox und Extensions in Safari zu prüfen. Eine Liste aller bis jetzt installierten Extensions findet sich in Safari unter "Einstellungen -> Erweiterungen". In Firefox ruft man aus der Menüleiste "Extras -> Addons" auf (Tastenkurzbefehl Hochstell- Befehlstaste-A).

Warum Gatekeeper nicht hilft

Es handelt sich bei der Installation des Trojaners nicht um vollständige Apps oder Programme, sondern um zusätzliche Erweiterungen für die gängigen Browser. Offenbar überprüft Gatekeeper solche kleinere Programm-Zusätze nicht und lässt die Installation problemlos gewähren.

0 Kommentare zu diesem Artikel
1739064