INTEGO SICHERHEITSWARNUNG – 31. Oktober 07
Das Trojanische Pferd OSX.RSPlug.A ändert die lokalen DNS-
Einstellungen und leitet den Datenverkehr auf bösartige DNS-Server um

Exploit: OSX.RSPlug.A Trojanisches Pferd

Entdeckt: 30. Oktober 07

Risiko: Bedenklich

Beschreibung: Auf mehreren Pornografie-Websites wurde ein bösartiges Trojanisches Pferd entdeckt, das vorgibt einen Video-Codec zu installieren, der für das Ansehen kostenloser Porno-Videos auf dem Mac benötigt wird. In vielen Mac-Foren wurde eine Menge Spam gepostet, um die Benutzer auf diese Seiten zu leiten. Wenn Benutzer auf eine dieser Websites gelangen, werden ihnen zunächst Fotos von angeblichen Pornovideos angezeigt. Wenn sie dann auf die Standbilder klicken, weil sie denken, sie könnten so die Videos ansehen, gelangen sie auf eine Website, die folgenden Text anzeigt:

Quicktime Player kann diese Filmdatei nicht abspielen.
Bitte klicken Sie hier, um eine neue Version des Codecs herunterzuladen.

Nachdem die Seite geladen wurde, wird automatisch eine Disk Image-Datei (.dmg) auf den Mac des Benutzers heruntergeladen. Wenn der Benutzer in den allgemeinen Einstellungen von Safari (oder ähnlichen Einstellungen in anderen Browsern) die Option „Sichere“ Dateien nach dem Laden öffnen markiert hat, wird das Disk Image auf dem Schreibtisch angemeldet und das enthaltene Installationspaket startet das Installationsprogramm. Falls diese Option nicht markiert ist und die Benutzer diesen Codec installieren möchten, doppelklicken sie auf das Disk Image, um es auf dem Schreibtisch anzumelden. Dann doppelklicken sie auf die Paketdatei „install.pkg“.

Wenn der Benutzer dann mit der Installation fort fährt, wird das Trojanische Pferd installiert. Für die Installation wird ein Administratorkennwort benötigt, das dem Trojanischen Pferd die vollen Zugriffsrechte auf das Stammverzeichnis gibt. Es wird kein Video-Codec installiert. Wenn die Benutzer auf die Website zurückkehren, gelangen sie lediglich wieder auf die gleiche Seite und erhalten einen neuen Download.

Dieses Trojanische Pferd ist eine Art DNSChanger und verwendet eine ausgeklügelte Methode, um über den Befehl „scutil“ den DNS-Server des Macs zu ändern (den Server also, der verwendet wird, um den Datenverkehr zwischen Domänennamen und IP-Adressen für Websites und andere Internetdienste zu überwachen). Wenn dieser neue, bösartige DNS-Server aktiviert ist, greift er einige Internetanfragen ab und leitet die Benutzer auf Phishing-Websites (für Seiten wie beispielsweise Ebay, PayPal und einige Banken) oder einfach auf Webseiten, auf denen Werbung für andere pornografische Websites angezeigt wird. Im ersten Fall können die Benutzer annehmen, sie befänden sich auf legitimen Seiten und dann dort einen Benutzernamen und ein Passwort, eine Kreditkartennummer oder eine Kontonummer eingeben. Diese Angaben werden dann abgefangen. Im letzteren Fall scheint es so zu sein, das diese Umleitung nur erfolgt, um Werbeeinkünfte zu erzielen.

Unter Mac OS X 10.4 gibt es keine Möglichkeit, die Änderungen am DNS-Server auf der grafischen Benutzeroberfläche des Betriebssystems zu sehen. Unter Mac OS X 10.5 kann man diese Änderungen in den Erweiterten Netzwerkeinstellungen sehen. Die hinzugefügten DNS-Server sind grau dargestellt und können manuell entfernt werden. (Intego testet gerade frühere Versionen von Mac OS X. Wahrscheinlich können diese auch infiziert werden, da alle Versionen von Mac OS X über den Befehl „scutil“ verfügen.)

Das Trojanische Pferd installiert auch die Funktion „crontab“ als root, die jede Minute überprüft, ob der DNS-Server noch immer aktiv ist. Da der DNS-Server verändert werden kann, wenn ein Netzwerkstandort verändert wird, sorgt diese Funktion dafür, dass der bösartige DNS-Server in diesem Fall der aktive Server bleibt.

Dieses Trojanische Pferd verteilt zudem verschiedene Versionen von sich selbst – möglicherweise abhängig davon, in welchem Land der Benutzer sich befindet, um so eine länderspezifische Manipulation zu ermöglichen. Wiederholte Downloads der Disk Image-Datei haben gezeigt, dass es verschiedene Versionen gibt.

Schutzmaßnahmen: Den besten Schutz gegen dieses Exploit bietet Intego VirusBarrier X4 mit den Virusdefinitionen vom 31. Oktober 2007. Intego VirusBarrier X4 löscht den bösartigen Code und schützt davor, dass Trojanische Pferde installiert werden. Intego empfiehlt allen Benutzern, niemals Software von nicht vertrauenswürdigen oder fragwürdigen Websites herunterzuladen und zu installieren.

Über Intego

Intego entwickelt und vertreibt Desktop-Software für Sicherheit im Internet und den Schutz vertraulicher Daten für Macintosh.

Intego stellt eine umfassende Auswahl von Software bereit, mit der Benutzer und ihre Mac-Computer vor den im Internet lauernden Gefahren geschützt werden. Die mehrsprachige Software und die Kundenunterstützung von Intego erhalten in regelmäßigen Abständen Auszeichnungen von den ‚Mac’-Magazinen und schützen derzeit mehr als eine Million Benutzer in über 60 Ländern. Intego hat Firmenhauptsitze in den USA, Frankreich und Japan.

Da die mit dem Internet verbundenen Risiken ständig zunehmen, arbeitet Intego mit voller Kraft an der Entwicklung neuer Software, mit der Benutzer und ihre Mac-Computer vor den neuesten Übergriffen auf die persönlichen Daten und auf die Sicherheit ihrer Computer wirkungsvoll geschützt werden.

We protect your world. Wir schützen Ihre Welt.

Startseite | Kontakt