1019705

Thema der Woche 22/09: Mehr Sicherheit für den Mac

30.05.2009 | 00:00 Uhr

Verdächtig: Die zweite Zeile mit den fünf Sternen am Anfang ist der gefährliche Eintrag, der darauf hinweist, dass der Trojaner auf diesem Mac aktiv ist.
Vergrößern Verdächtig: Die zweite Zeile mit den fünf Sternen am Anfang ist der gefährliche Eintrag, der darauf hinweist, dass der Trojaner auf diesem Mac aktiv ist.

Der Befehl scutil liefert Informationen darüber, welche DNS-Server das Betriebssystem verwendet, um Internet-Namen wie www.macwelt.de in die nummerische Form zu übersetzen. Die ebenfalls nummerischen Adressen dieser DNS-Server werden dem Mac normalerweise vom Internet- Provider zugeteilt, wenn man sich ins Internet einwählt. Der Trojaner aber setzt in diese Liste eigene Adressen ein, die zu DNS-Servern gehören, die vom Hacker selbst betrieben werden. Damit kann der Hacker den Browser zu völlig anderen Servern schicken (Englisch "scam"). Wer beispielsweise auf der Suche nach www.ebay.com war, wurde vom Trojaner zu einer gefälschten Internet-Seite geleitet, die ähnlich aussieht wie Ebay USA, die aber nur dazu dient, Benutzername und Kennwort von Ebay-Teilnehmern in Erfahrung zu bringen (Englisch: "phishing").

Wenn der Trojaner aktiv ist, stehen vor oder nach den normalen DNS-Einträgen weitere. Zum Vergleich kann man (nur unter Mac-OS X 10.5) die Liste der DNS-Einträge in den Systemeinstellungen prüfen (unter dem Punkt "Netzwerk", wenn links die Schnittstelle gewählt ist, über die die Internet-Verbindung hergestellt wird).

<dictionary> {

ServerAddresses : <array> {

0 : 192.168.13.13

1 : 192.168.13.14

}

DomainName : officemuc.idg

}

Ist der Trojaner aktiv, sieht man unter Mac-OS X 10.5 in den Systemeinstellungen eine Liste von DNS-Servern, wobei die Einträge teilweise in grauen Buchstaben und teilweise in schwarzen dargestellt werden.

Dieser Terminal-Screenshot zeigt die Auswirkungen von OSX.RSPlug.a

Macwelt Marktplatz

1019705