1019705

Thema der Woche 22/09: Mehr Sicherheit für den Mac

30.05.2009 | 00:00 Uhr

OSX.RSPlug.A erkennen

Es gibt zwei weniger eindeutige Merkmale für den Trojaner OSX.RSPlug.A und ein eindeutiges, das man aber nur nach einem relativ komplexen Befehl im Dienstprogramm Terminal erkennt.

Ein Anzeichen für die Infektion mit dem Trojaner ist die Datei "plugins.settings" im Ordner "/Library/Internet Plug- Ins". Da allerdings Hacker dazu neigen, solche Dateinamen von Zeit zu Zeit zu ändern, versteckt sich der Trojaner möglicherweise hinter einem anderen Dateinamen.

Ein anderes Indiz ist ein Eintrag in der Auftragstabelle für den Benutzer "root", die der Hintergrundprozess Cron auswertet. Diese Cron-Tabelle ist normalerweise für den Benutzer "root" leer; allerdings hinterlassen manche Spezialprogramme dort Spuren, so dass auch dieses Indiz nicht eindeutig ist. Wer die Tabelle zur Sicherheit prüfen will, muss sich als Benutzer mit Verwaltungsrechten (siehe "Systemeinstellungen > Benutzer") anmelden, das Dienstprogramm Terminal starten und dort den folgenden Befehl eintippen:

sudo crontab -l

Wenn man diesen Befehl eingibt und die Eingabetaste betätigt, muss man noch das Kennwort für den gerade aktiven Benutzer eintippen, damit das Unix-System den Befehl ausführt. Erhält man die folgende Antwort, kann man sich sicher sein, dass der Trojaner auf diesem Mac nicht aktiv ist:

crontab: no crontab for root

Umgekehrt gilt das aber nicht: Nicht jeder Eintrag in der Cron-Tabelle ist ein Hinweis auf OSX.RSPlug.A.

Die einzig eindeutige Methode, den Trojaner zu erkennen, ist ein Vergleich zwischen den Systemeinstellungen und der Information, die ein Unix-Befehl liefert - das ist aber nur unter Mac-OS X 10.5 möglich:

scutil

show State:/Network/Global/DNS

...

exit

Macwelt Marktplatz

1019705