Doctor Web: Vor allem Rechner in USA, Kanada und UK betroffen
Botnet mit über 550.000 Macs entdeckt
Der Antivirenanbieter Doctor Web hat ein Botnet mit 550.000 der gemeinhin als sicher geltenden Apple-Mac-Rechner entdeckt. Das Botnet mit den Bots unter Mac OS X fiel den russischen Antiviren-Spezialisten bei einer Untersuchung der Verbreitungsmethoden des Trojaners BackDoor.Flashback.39 auf. Doctor Web empfiehlt Mac-Anwendern, das Sicherheits-Update unter support.apple.com/kb/HT5228 herunterzuladen.
Disput zwischen Security-Experten und Stiftung Warentest
Norman: Malware wächst Unternehmen über den Kopf
Abwehr neuartiger Bedrohungen Intelligence-Driven Information Security
F-Secure Anti-Virus nun auch für Mac
Unternehmensweiter Schutz von Dateien und Datenträgern
Der größte Anteil infizierter Computer entfällt auf den englischsprachigen Raum: Die USA führen mit 56,6 Prozent der Bot-Rechner (303.449 infizierte Rechner), gefolgt von Kanada (19,8 Prozent oder 106.379 Geräte) und Großbritannien (12,8 Prozent oder 68.577 Geräte). Deutschland ist mit einem Anteil von nur 0,4 Prozent hingegen kaum betroffen.
„Unserer Untersuchung nach sind bis dato weltweit über 550.000 Mac-Computer im Botnet mit dem Trojaner BackDoor.Flashback.39 infiziert. Auch wenn in Deutschland keine unmittelbare Gefahr besteht, zeigt die Untersuchung doch eine Schwachstelle bei Macs. Damit haben wir eindeutig den Mythos widerlegt, dass dieses Betriebssystem sicher ist“, kommentiert Pierre Curien, Geschäftsführer Deutschland bei Doctor Web.
Die Infektion mit BackDoor.Flashback.39 erfolgt laut Doctor Web über infizierte Websites und Traffic Redirection, wodurch Mac-OS-X-Anwender auf bösartige Sites gelangen. Diese enthalten ein Java-Skript, das ein Java-Applet mit dem Exploit in den Browser lädt.
Zu den schädlichen Websites zählen diverse Video- und Streaming-Seiten mit der Endung *.rr.nu. Auch per Google-Suche wurden laut den russischen Security-Spezialisten über vier Millionen infizierte Webseiten angezeigt. In Apple-Foren seien zudem Infektionen durch BackDoor.Flashback.39 beim Aufrufen von dlink.com bekannt geworden.
Seit Februar 2012, so der AV-Anbieter, nutzen Kriminelle zur Malware-Verbreitung die Sicherheitslücken CVE-2011-3544 und CVE-2008-5353 aus. Nach dem 16. März sei eine weitere Lücke (CVE-2012-0507) bekannt geworden, ein entsprechendes Sicherheits-Update habe Apple aber erst am 3. April 2012 veröffentlicht.
Der Trojanerbefall läuft laut Angaben von Doctor Web wie folgt ab:
Der Exploit speichert auf der Festplatte eine ausführbare Datei, die Daten von entfernten Servern herunterladen soll. Die Sicherheitsspezialisten entdeckten zwei Versionen des Trojaners. Seit dem 1. April verwenden Internet-Kriminelle eine modifizierte Variante von BackDoor.Flashback.39. Wie in den vorherigen Versionen sucht das Malware-Programm nach folgenden Komponenten auf der Festplatte:
/Library/Little Snitch
/Developer/Applications/Xcode.app/Contents/MacOS/Xcode
/Applications/VirusBarrier X6.app
/Applications/iAntiVirus/iAntiVirus.app
/Applications/avast!.app
/Applications/ClamXav.app
/Applications/HTTPScoop.app
/Applications/Packet Peeper.app
Findet der Trojaner diese nicht vor, erstellt er eine Liste von Control-Servern, sendet eine Nachricht über eine erfolgreiche Installation an den Statistik-Server der Kriminellen und schickt laufend Anfragen an Control-Server-Adressen.
Die Malware kann dabei zum besseren Load Balancing zwischen verschiedenen Servern wechseln. BackDoor.Flashback.39 prüft nach Erhalt einer Antwort vom Control Server die RSA-Signatur und lädt bei positivem Ergebnis Daten vom und auf den infizierten Rechner. Jeder Bot übermittelt dem Control-Server die ID eines infizierten Computers.
Mittels Sinkhole-Methode konnte Doctor Web laut eigenen Angaben die Botnet-Daten auf eigene Server umleiten. Daraus habe man die Gesamtzahl infizierter Computer berechnet. Weitere Informationen finden sich unter www.drweb-av.de.
Eine Beschreibung, wie man die Malware wieder entfernen kann, findet man bei F-Secure: www.f-secure.com/v-descs/trojan-downloader_osx_flashback_i.shtml.
Lesen Sie mehr zum Thema
