Hightech und Blech

Warnung vor Mac-Trojaner

Als Hersteller von Sicherheitssoftware gibt Intego die Warung vor dem OSX.RSPlug.A Trojan Horse aus. Das Schadprogramm verändert die Einstellungen zu DNS-Servern. Damit wird das System auf Phishing und Hijacking vorbereitet. Wie Intego schildert, geht von bestimmten Porno-Seiten im Internet diese Gefahr aus. Anstelle der ’scharfen‘ Videos erscheint eine Meldung, die zum Download eines vermeindlich fehlendes Codec für Apple QuickTime anleitet. Dieses wird als Disk-Image ausgeliefert und beinhaltet einen Installer, der nach dem Admin-Passwort verlangt. Unter Umständen wird das Image nach dem Download automatisch aktiviert und der Installer aufgerufen. Diese Installation darf nicht dem dem Admin-Passwort bestätigt werden.
Von OSX.RSPlug.A geht eine echte Gefahr aus. Denn durch den Installer werden die Einstellungen zu DNS-Servern verändert. Damit wird eine Umleitung von vertrauenswürdigen Domains auf ‚unsichere‘ Seiten vorbereitet. Diese kann ohne Wissen des Anwenders ausgeführt werden, etwa um Benutzernamen, Passwörter und auch Daten von Kreditkarten und Bankverbindungen abzufangen. Als Beispiele werden eBay und Paypal genannt. Es können aber auch andere Sites sein.

Besonders gemein: Unter Mac OS X v10.4 Tiger sind die Änderungen im Kontrollfeld Netzwerk nicht sichtbar. Bei Mac OS X v10.5 Leopard erscheinen die hinzugefügten DNS-Einträge ausgegraut und sind von Nutzer nicht änderbar.

Bei macworld.com findet sich eine Lösung, wie man feststellt, ob das eigene System betroffen ist, und wie man den Trojaner wieder entfernt.

1) OSX.RSPlug.A Trojan Horse richtet einen Cronjob ein:
* * * * * „/Library/Internet Plug-Ins/plugins.settings“>/dev/null 2>&1
Diesen kann man sich als Admin-User mittels
sudo crontab -l
anzeigen lassen. Es sollte der einzige Cron sein, der auf dem System läuft.
Den Cronjob muß man entfernen. Das geht mit:
sudo crontab -r und dem Admin-Passwort.
Ein weiteres sudo crontab -l sollte dann melden: crontab: no crontab for root.

2) Die vom OSX.RSPlug.A Trojan Horse für den Cronjob installierte Datei muß man löschen. Im Beispiel ist dies:
/Library/Internet Plug-Ins/plugins.settings

3) DNS-Einstellungen sind erneut vorzunehmen, und zwar mit den Einträgen, die man von seinen Provider oder von seinem Netzwerkverwalter erhalten hat.

4) Nach einem Neustart dürfte der Trojaner OSX.RSPlug.A wirksam entfernt sein.

Dies ist eine Warnung vor dem Trojaner OSX.RSPlug.A. Führen Sie keine Installation durch von Softwares aus Quellen, die nicht vertrauenswürdig sind.