1017509

Kommentar: Ein Zombie, wenig Gefahr

21.04.2009 | 13:22 Uhr |

Zwei Forscher warnen vor dem ersten ferngesteuerten Netz von Rechnern, bei dem - anders als bisher - Macs genutzt werden.

virus top 20 mai
Vergr├Â├čern virus top 20 mai

OSX.RSPlug.A (oder die Varianten mit "B" bis "D" am Ende) soll mittlerweile von Hackern erneut modifiziert worden sein. Diese Variante sei jetzt aktiv, so dass die Hacker die Kontrolle ├╝ber eine gro├če Zahl von Macs gewonnen haben und diese Rechner als Verbund (oder Neudeutsch: "Botnetz") einsetzen k├Ânnen.

Das schreibt die Internetseite "Virus Bulletin" unter Verweis auf die zwei Sicherheitsforscher Mario Ballano Barcena und Alfredo Pesoli.

Eine genauere Analyse ist nur den zahlungskr├Ąftigen Abonnenten von Virus Bulletin m├Âglich, weil der Bericht nicht ├Âffentlich ist. Deshalb wagen wir jetzt mal die Prognose: Das Botnetz aus Macs wird sich als harmlos erweisen - nicht vergleichbar mit den zehn- oder hunderttausend Windows-Maschinen, die regelm├Ą├čig in den Schlagzeilen landen, weil die Hacker dahinter die Maschinen nutzen, um E-Mail-M├╝ll zu versenden oder um bekannte Adressen wie Youtube oder die New York Times anzugreifen.

Was uns zu der Annahme der Harmlosigkeit bringt, sind die Zahlen die Symantec und Intego ├╝ber den Virus in Umlauf gebracht haben: Etwa 20.000 Downloads f├╝r OSX.RSPlug.A haben die Sicherheitsfirmen registriert. Selbst wenn alle davon die verseuchte Software installiert haben, wird wahrscheinlich eine gro├če Zahl mittlerweile Gegenma├čnahmen ergriffen haben, so dass vielleicht noch ein Viertel der Macs verseucht ist. Wenn sich die Zahl der Infektionen auf die vier oder sechs Varianten verteilt und nur zwei davon den Mac ins Botnetz bringen, dann sind vielleicht 1000 Macs weltweit (!) ferngesteuerte Zombies.

Rechnet man dann noch heraus, dass wahrscheinlich ein Teil dieser Rechner zumindest zeitweise ausgeschaltet oder nicht mit dem Internet verbunden ist, dann bleibt ein Botnetzchen aus einigen Hundert Macs ├╝brig. Einige hundert Rechner aber sind kein besonders schlagkr├Ąftiger Verbund und selbst als Spam-Schleuder keine ernsthafte Gefahr im Internet.

Die Information im Virus Bulletin sind zug├Ąnglich, wenn man die Geb├╝hr von 175 US-Dollar f├╝r ein Ein-Jahres-Subskription zahlt. Honi soit qui mal y pense.

Hinweis:
OSX.RSPlug.A hat sich verbreitet, weil Betrachter von Porno-Seiten im Internet aufgefordert wurden, zum Betrachten der Filme eine Erweiterung f├╝r Quicktime zu installieren ("Video Codec").

Die neuen Varianten des Virus sind in Raubkopien von Apples Software iLife 09 und iWork 09 (teilweise auch Photoshop CS 3 oder Photoshop CS 4) versteckt. Wir raten dringend davon ab, Software aus dubiosen Quellen auf dem Mac zu installieren.

Macwelt Marktplatz

1017509