Austin (Texas, USA), den 16. Februar 2006
Sicherheitswarnung von Intego
Fragen und Antworten zum Trojanischen Pferd „OOMPA-LOOMPA“
auch bekannt als „OSX/OOMP-A“ oder „LEAP.A“
Wie hat Intego zum ersten Mal von diesem Trojanischen Pferd erfahren?
Intego erhielt am 14. Februar 2006 eine Kopie dieses Trojanischen Pferdes, nachdem ein Intego-Benutzer es in einem Macintosh-Forum entdeckt hat.Der Benutzer ging davon aus, dass die Datei vorab veröffentlichte Bilder eines neuen Betriebssystems enthielte. Stattdessen aber infizierte die Datei sein System.Der Benutzer hat dies später bemerkt, als seine iChat-Kontakte ihn fragten, warum er ihnen Dateien zugesendet hat.
Wie kann man sich vor diesem Trojanischen Pferd schützen?
Mit den Programmen VirusBarrier X und VirusBarrier X4 von Intego können Sie das Trojanische Pferd „Oompa-Loompa“ entfernen. Verwenden Sie hierzu die Virendefinitionen vom 14. Februar 2006. Zudem arbeitet Intego gewissenhaft weiter an diesem Thema. So möchten wir sicherstellen, dass Sie mit den Programmen VirusBarrier X und VirusBarrier X4 auch alle künftigen Trojanischen Pferde entfernen können, die die gleiche Technik auszunutzen versuchen.
Gibt es mehr als eine Version dieses Trojanischen Pferdes?
Das Virus Monitoring Center von Intego hat bisher zwei Versionen dieses Trojanischen Pferdes isoliert. Alle verdächtigen Aktivitäten werden weiterhin überwacht. So möchten wir sicherstellen, dass keine weiteren Versionen auftauchen.
Wie sieht diese Datei aus?
Zunächst taucht dieses Trojanische Pferd in Form einer komprimierten Datei namens „latestpics.tgz“ auf. Nach dem Entpacken scheint es sich dann um eine Grafikdatei zu handeln.Wenn andere Hacker die aktuelle Version dieses Trojanischen Pferdes jedoch verändern, taucht die Datei künftig möglicherweise auch unter einem anderen Namen auf.
Wie wird dieses Trojanische Pferd aktiviert?
Benutzer müssen die Datei entweder von einer Internetseite herunterladen, sie als E-Mail-Anhang empfangen oder über den iChat erhalten.Im letztgenannten Fall neigen Benutzer eher dazu, der Quelle zu vertrauen, obwohl der „Absender“ gar nicht weiß, dass die Datei versendet wurde.Befindet sich die Datei auf dem Computer, muss sie zunächst mit einem Doppelklick entpackt werden. Anschließend muss der Benutzer auf das entpackte Trojanische Pferd doppelklicken, das durch ein eigenes Symbol als Grafikdatei getarnt ist.
Zeigt dieses Trojanische Pferd seine Anwesenheit an, indem es den Benutzer dazu auffordert, das Kennwort eines Administrators einzugeben?
Nein. Dieses Trojanische Pferd installiert eine Datei in den Ordner „Library/InputManagers“ des Benutzers, wenn der Benutzer nicht als Hauptbenutzer angemeldet ist.Wenn es sich bei dem Benutzer um den Hauptbenutzer handelt, installiert sich das Trojanische Pferd selbst in den Systemordner unter „Library/InputManagers“.
Wie infiziert dieses Trojanische Pferd ein Mac OS X-System?
Wenn ein Benutzer die entpackte Grafikdatei, in Erwartung ein Bild angezeigt zu bekommen, mit einem Doppelklick öffnet, wird das ablauffähige Computerprogramm in dieser Datei ausgeführt.Das Trojanische Pferd platziert dann eine Datei namens „apphook.bundle“ im Ordner „InputManagers“ des Benutzers (im Benutzerordner „Library“). Auf diese Weise reproduziert sich das Computerprogramm anschließend in allen anderen Cocoa-Anwendungen, die der Benutzer startet.Mit „Spotlight“ sucht das Trojanische Pferd nach den vier zuletzt verwendeten Programmen und infiziert diese.Der Input-Manager „apphook.bundle“ versucht, eine Kopie der Originaldatei „latestpics.tgz“ an jede Person auf der iChat-Kontaktliste des Benutzers zu versenden.Da die Benutzer diese Datei so von Freunden und Kollegen empfangen, sind sie geneigt anzunehmen, dass es sich um eine sichere Datei handelt und entpacken sie zunächst mit einem Doppelklick. Anschließend doppelklicken sie noch einmal darauf, um sich die Datei „anzusehen“.
Handelt es sich um ein Trojanisches Pferd, einen Virus oder einen Wurm?
Diese Datei vereint alle drei Typen von schädlicher Software. Zunächst einmal handelt es sich um ein Trojanisches Pferd:ein ablauffähiges Computerprogramm, dass in einer als Grafikdatei getarnten Datei versteckt ist. Dann ist die Datei aber auch ein Virus, da sich das Programm selbst in andere Anwendungen auf dem Computer des Benutzers kopiert.Und schließlich ist sie ein Wurm, der sich selbst über iChat an andere Benutzer weiter versendet.
Hat Intego Apple über dieses Trojanische Pferd informiert?
Ja, wir haben Apple sofort informiert, nachdem wir dieses Trojanische Pferd untersucht und die davon ausgehenden Gefahren erkannt haben.Wir standen in engem Kontakt mit Apple, damit dieses Trojanische Pferd auf jeden Fall so schnell wie möglich unter Kontrolle gebracht werden konnte.
Löscht dieses Trojanische Pferd irgendwelche Dateien?
Nein. Derzeit infiziert das Trojanische Pferd lediglich Anwendungen und versendet sich selbst über iChat an andere Benutzer weiter.Es besteht jedoch die Möglichkeit für andere Hacker, dieses Trojanische Pferd so zu verändern, dass es auch Dateien löscht.
Hat dieses Trojanische Pferd irgendwelche Auswirkungen auf Mac OS X-Systemdateien?
Nein. Zumindest in der derzeitigen Version wirkt dieses Trojanische Pferd sich nur auf Programme aus.
Betrifft dieses Trojanische Pferd Mac OS 9 oder frühere Versionen von Mac OS X?
Nein. Es betrifft ausschließlich Mac OS X 10.4 (Tiger).
Hat dieses Trojanische Pferd Auswirkungen auf die neuen Macintosh-Computer mit Intel-Prozessoren?
Nein. Es betrifft ausschließlich Macs mit PowerPC-Prozessoren.
Wie kann man dieses Trojanische Pferd erkennen?
Dieses Trojanische Pferd ist derzeit unter dem Namen „latestpics.tgz“ im Umlauf. Es ist jedoch absolut möglich, dass andere Versionen mit anderen Dateinamen erstellt werden.
Weitere Informationen über das Trojanische Pferd „Oompa-Loompa“ erhalten Sie auf der Intego-Website in den betreffenden Pressemitteilungen unter: http://www.intego.com/de/news/pr76.asp
Über Intego
Intego entwickelt und vertreibt Desktop-Software für Sicherheit im Internet und den Schutz vertraulicher Daten für Macintosh.
Intego stellt eine umfassende Auswahl von Software bereit, mit der Benutzer und ihre Mac-Computer vor den im Internet lauernden Gefahren geschützt werden. Die mehrsprachige Software und die Kundenunterstützung von Intego erhalten in regelmäßigen Abständen Auszeichnungen von den ‚Mac’-Magazinen und schützen derzeit mehr als eine Million Benutzer in über 60 Ländern. Intego hat Firmenhauptsitze in den USA, Frankreich und Japan.
Da die mit dem Internet verbundenen Risiken ständig zunehmen, arbeitet Intego mit voller Kraft an der Entwicklung neuer Software, mit der Benutzer und ihre Mac-Computer vor den neuesten Übergriffen auf die persönlichen Daten und auf die Sicherheit ihrer Computer wirkungsvoll geschützt werden.
We protect your world. Wir schützen Ihre Welt.
# # # #
|
