Image Image Image Image

Dockster.A: Ein neuer Mac-Trojaner wurde entdeckt

Dockster.A: Ein neuer Mac-Trojaner wurde entdeckt

Im April diesen Jahres machte ein Trojaner namens Flashback auf sich aufmerksam. Nachdem es dem Trojaner gelungen war innerhalb kürzester Zeit mehrere hunderttausend Macs zu infizieren, mussten Mac-User ein weiteres Mal feststellen, das auch sie vor derartigen Angriffen nicht sicher sind. Während Windows nach wie vor Hauptziel der Angreifer ist, rückt Apple's Betriebssystem mehr und mehr in den Fokus der Programmierer von Schadsoftware. 

Der Grund hierfür ist simpel. War es in der Vergangenheit noch sehr unrentabel Vieren und Trojaner für OS X zu entwickeln, wird es mit der stetig wachsenden Mac-Nutzerschaft ein immer lukrativeres Ziel. Aus diesem Grund ist es nicht verwunderlich, dass in regelmäßigen Abständen neue Schadprogramme für OS X auftauchen. Die Kollegen von "Intego" haben am 30.11.2012 eine Meldung über einen neuen Trojaner veröffentlicht, der es wieder auf Mac-User abgesehen hat.

Im Gegensatz zum Flashback-Trojaner ist diese Malware allerdings weniger gefährlich. Der Grund hierfür, der Trojaner Namens Dokster.A nutzt dieselbe Schwachstelle wie einst  der Flashback-Trojaner. Diese Schwachstelle ist aufgrund der Ereignisse im Frühjahr allerdings schnell gepatcht worden. Außerdem ist bei den neuesten OS X-Versionen standardmäßig Java nicht aktiv bzw. gar nicht mehr von Haus aus an Bord. Vermutet wird allerdings, dass es sich bei der entdeckten Version "nur" um eine Versuchsversion handelt. Den Intego Kollegen zufolge wäre der Code der dieser Malware zugrunde liegt, nämlich auch mit einer Zero-Day-Lücke kombinierbar.

Der Dokster.A-Trojaner selbst ist allerdings ein heimtückisches kleines Biest. Denn er enthält einen Keylogger zur Aufzeichnung eurer Tastatureingaben und öffnet eine Hintertür für den Remotezugriff auf eure Maschine. Ist das System befallen kreiert die Malware einen LaunchAgent namens "mac.Dckset.deman". Dadurch wird er bei jedem neuen User-Login wieder aktiviert. Einmal installiert versucht er eine Verbindung zur Adresse “itsec.eicp.net“ aufzubauen, um von dort vermutlich weiteren Schadcode und Instruktionen zu erhalten. Da die Adresse bei der Entdeckung noch nirgends registriert war, ist dies für die "Intego" ein weiteres Indiz dafür, dass es sich nur um einen Testlauf handeln könnte.

Erstmals gefunden wurde diese Malware auf der Internetpräsenz über den Dalai Lama (gyalwarinpoche.com). Es ist allerdings noch völlig unklar ob dies die einzige Seite ist. Auch ist im Moment nicht bekannt ob es schon Infektionen gab und falls ja, wie weit sich diese bis jetzt verbreiten konnten. Besonders große Sogen muss man sich allerdings noch nicht machen, denn wie gesagt, normalerweise ist die genutzte Lücke eigentlich schon geschlossen worden. Da man auf alles vorbereitet sein sollte, hier noch einmal der Hinweis an die Mac-User. Bitte bringt euer System auf den aktuellsten Stand und installiert eine Antiviren-Software zum Schutz vor aktuellen und zukünftigen Bedrohungen.

viren-trojaner-system-infected

via: Intego
Bild: Bernd Boscolo


Übrigens: Wenn Du keine Neuigkeiten, Produkt-Tests oder Artikel von uns verpassen willst, dann folge uns am besten auf Facebook oder Twitter.



Hier kannst Du Deine Meinung loswerden:



← Menü öffnen weblogit.net | Home