OSX/Koobface.A Typ: Trojaner (bzw. Wurm/Trojaner)
System: Mac OS X
Alias: Boonana Trojan Horse, trojan.osx.boonana.a Zuerst gemeldet von: Intego am 27.10.2010
Beschreibung:
Koobface existiert seit längerer Zeit als Trojaner für andere OS-Systeme. Die Variante OSX/Koobface.A zielt erstmals auf Mac OS X ab und verbreitet sich laut Intego-Sicherheitsblog als Wurm, wird von einem Trojanischen Pferd in den Rechner geschleust und startet dort ein Rootkit und andere Dinge. Intego sieht jedoch ein geringes Risiko, denn OSX/Koobface.A sei nicht ausgereift und fehlerhaft programmiert. Eine Infektion konnte Intego nicht nachvollziehen ("Entweder die Malware ist mit Bugs versehen, die ein korrektes Ausführen verhindern, oder die kontaktierten Server sind nicht aktiv oder liefern die Dateien nicht vollständig aus"). Die Verbreitung sei gering.
OSX/Koobface.A verbreitet sich via Java-Applets über Social Network-Sites (darunter FaceBook, MySpace, Twitter). Stand Nov. 2010 tarnt er sich als als Link auf Video-Dateien mit dem Titel "Is this you in this video?".
Wenn man auf diesen Link klickt, führt sich der Trojaner zunächst als Java-Applet aus.
Das Java-Applet zeigt zunächst die Meldung "Das Java-Applet ... erfordert Zugriff auf Ihre Daten. Die digitale Signatur kann nicht überprüft werden." Die Details der digitalen Signatur nennen "Photo Album" als Herausgeber.
Sofern dem Java-Applet Zugriff gewährt wird, werden weitere Dateien über Port 49085 geladen - darunter ein selbst startendes Installationsprogramm. Die geladenen Dateien werden in einem unsichtbaren Ordner (.jnana) im Home-Ordner des gegenwärtigen Benutzers gespeichert.
Das Installationsprogramm zeigt das für alle Programme übliche Authorisierungsfenster und führt sich nicht unbemerkt selbst aus.
Das Installationsprogramm sei in der Lage, Zugriff auf alle Dateien des Computers von außerhalb zu ermöglichen. Zusätzlich installiere OSX/Koobface.A unsichtbare Hintergrundprozesse, die sich regelmäßig mit andere Computern verbinden, um Informationen über das infizierte System zu übertragen. Es wurde berichtet, dass sich der Trojaner nicht nur über Social Network Sites, sondern ebenso via SPAM-Mails verbreitet.
Intego geht davon aus, dass sich in Zukunft weitere Varianten dieses Wurms zeigen werden.
Der Trojaner OSX/Koobface.A ist nicht Mac-spezifisch und befällt ebenso Windows- und Linux-Systeme.
Gefährung: gering (lt. Intego) bzw. kritisch (lt. Securemac)
Schutz: Java im eigenen Browser deaktivieren oder Warndialoge von Java-Applets bewusst zur Kenntnis zu nehmen und bei unklarem Ursprung den Zugriff verweigern
Quelle:
http://www.architektenwerk.de/mac_os_viren.htmlOSX/Koobface.A Typ: Trojaner (bzw. Wurm/Trojaner)
System: Mac OS X
Alias: Boonana Trojan Horse, trojan.osx.boonana.a Zuerst gemeldet von: Intego am 27.10.2010
Beschreibung:
Koobface existiert seit längerer Zeit als Trojaner für andere OS-Systeme. Die Variante OSX/Koobface.A zielt erstmals auf Mac OS X ab und verbreitet sich laut Intego-Sicherheitsblog als Wurm, wird von einem Trojanischen Pferd in den Rechner geschleust und startet dort ein Rootkit und andere Dinge. Intego sieht jedoch ein geringes Risiko, denn OSX/Koobface.A sei nicht ausgereift und fehlerhaft programmiert. Eine Infektion konnte Intego nicht nachvollziehen ("Entweder die Malware ist mit Bugs versehen, die ein korrektes Ausführen verhindern, oder die kontaktierten Server sind nicht aktiv oder liefern die Dateien nicht vollständig aus"). Die Verbreitung sei gering.
OSX/Koobface.A verbreitet sich via Java-Applets über Social Network-Sites (darunter FaceBook, MySpace, Twitter). Stand Nov. 2010 tarnt er sich als als Link auf Video-Dateien mit dem Titel "Is this you in this video?".
Wenn man auf diesen Link klickt, führt sich der Trojaner zunächst als Java-Applet aus.
Das Java-Applet zeigt zunächst die Meldung "Das Java-Applet ... erfordert Zugriff auf Ihre Daten. Die digitale Signatur kann nicht überprüft werden." Die Details der digitalen Signatur nennen "Photo Album" als Herausgeber.
Sofern dem Java-Applet Zugriff gewährt wird, werden weitere Dateien über Port 49085 geladen - darunter ein selbst startendes Installationsprogramm. Die geladenen Dateien werden in einem unsichtbaren Ordner (.jnana) im Home-Ordner des gegenwärtigen Benutzers gespeichert.
Das Installationsprogramm zeigt das für alle Programme übliche Authorisierungsfenster und führt sich nicht unbemerkt selbst aus.
Das Installationsprogramm sei in der Lage, Zugriff auf alle Dateien des Computers von außerhalb zu ermöglichen. Zusätzlich installiere OSX/Koobface.A unsichtbare Hintergrundprozesse, die sich regelmäßig mit andere Computern verbinden, um Informationen über das infizierte System zu übertragen. Es wurde berichtet, dass sich der Trojaner nicht nur über Social Network Sites, sondern ebenso via SPAM-Mails verbreitet.
Intego geht davon aus, dass sich in Zukunft weitere Varianten dieses Wurms zeigen werden.
Der Trojaner OSX/Koobface.A ist nicht Mac-spezifisch und befällt ebenso Windows- und Linux-Systeme.
Gefährung: gering (lt. Intego) bzw. kritisch (lt. Securemac)
Schutz: Java im eigenen Browser deaktivieren oder Warndialoge von Java-Applets bewusst zur Kenntnis zu nehmen und bei unklarem Ursprung den Zugriff verweigern
Quelle: http://www.architektenwerk.de/mac_os_viren.html
