Intego Neuigkeiten > Presseveröffentlichungen

INTEGO SICHERHEITSMEMO – 1. Juni 2010
Spyware OSX/OpinionSpy wird durch kostenlos vertriebene Mac-Anwendungen installiert

 

Schädliche Software: OSX/OpinionSpy

Risiko: Hoch

Beschreibung: Intego hat eine Spyware-Anwendung entdeckt, die von vielen kostenlos vertriebenen Mac-Anwendungen und Bildschirmschonern installiert wird, die auf einer Reihe von Websites gefunden wurden. Diese Spyware, OSX/OpinionSpy, führt eine Reihe von schädlichen Aktionen durch. Das geht vom Scannen der Dateien, um die Benutzeraktivität aufzuzeichnen, über das Senden von Informationen über diese Aktivitäten an Remote-Server bis zum Öffnen von Hintertüren auf infizierten Macs.

spyware mac


OSX/OpinionSpy wird von vielen Anwendungen und Bildschirmschonern installiert, die auf Seiten wie MacUpdate, VersionTracker und Softpedia angeboten werden. Die Spyware selbst ist nicht in diesen Anwendungen enthalten, aber sie wird während des Installationsvorgangs heruntergeladen. Das zeigt, wie wichtig ein aktuelles Programm gegen schädliche Software mit einem Echtzeitscanner ist, der diese schädliche Software erkennen kann, wenn sie durch das Installationsprogramm der Originalanwendung heruntergeladen wird.

Einige dieser Anwendungen enthalten in ihren Informationen einen irreführenden Text, der erklärt, dass ein Programm zur „Markforschung“ mit der Anwendung installiert wird, den die Benutzer akzeptieren müssen. Aber nicht alle Anwendungen erklären dies. Einige dieser Programme werden auch direkt über die Website der Entwickler verbreitet, ohne eine solche Warnung.

Die schädliche Software (eine Version davon gibt es für Windows bereits seit 2008) zielt darauf ab, Informationen über das Surf- und Kaufverhalten zu sammeln, die in Marktberichten verwendet werden. Dieses Programm geht jedoch noch viel weiter, indem es eine Reihe von hinterlistigen Aktionen durchführt. Intego klassifiziert dieses Programm daher als Spyware.
OSX/OpinionSpy führt folgende Aktionen durch:

  • Diese Anwendung besitzt keine Benutzeroberfläche und läuft als „Root“ (sie bei der Installation ein Administratorpasswort verlangt) mit vollständigen Zugriffs- und Bearbeitungsrechten für jede beliebige Datei auf dem infizierten Computer des Benutzers.
  • Wenn die Anwendung aus irgendeinem Grund nicht mehr läuft, wird sie über launchd neu gestartet - die systemweite Anwendung und Facility zum Starten von Diensten.
  • Diese öffnet dann eine HTTP-Hintertür unter Verwendung von Port 8254.
  • Die Anwendung scannt alle zugänglichen Laufwerke, analysiert Dateien und nimmt sehr viel CPU-Leistung in Anspruch.  Es ist nicht klar, welche Daten die Anwendung kopiert und an ihre Server sendet, aber sie scannt sowohl die lokalen als auch die Netzwerklaufwerke und öffnet dabei möglicherweise sehr viele vertrauliche Dateien auf einem Netzwerk, auf das sie eindringt.
  • Sie analysiert Pakete, die einen infizierten Mac über ein lokales Netzwerk erreichen oder verlassen, und analysiert Daten, die von anderen Computern eingehen oder an diese gesendet werden. Ein infizierter Mac kann daher eine große Anzahl von Daten von verschiedenen Computern in einem lokalen Netzwerk sammeln, wie z.B. in einem Unternehmen oder einer Schule.
  • Die Anwendung injiziert Codes ohne Eingriff durch den Benutzer in Safari, Firefox und iChat und kopiert persönliche Daten aus diesen Anwendungen. Das Injizieren von Codes ist eine Verhaltensweise, die einem Virus ähnelt und diese schädliche Software „infiziert“ Anwendungen wenn diese ausgeführt werden, um ihre Vorgänge auszuführen. (Die Anwendung infiziert den Anwendungscode im Mac-Speicher. Sie infiziert nicht die aktuellen Anwendungsdateien auf der Festplatte des Benutzers.)
  • Sie sendet regelmäßig verschlüsselte Daten an eine Vielzahl von Servern unter Verwendung der Ports 80 und 443. Sie sendet Daten an diese Server über Dateien, die lokal gescannt wurden und sendet auch E-Mail-Adressen, iChat-Nachrichtenköpfe und URLs sowie andere Daten. Zu diesen Daten können persönliche Daten wie z.B. Benutzernamen, Passwörter, Kreditkartennummern, Webbrowser-Lesezeichen, der Verlauf (Chronik) und vieles mehr zählen.
  • Aufgrund der Datentypen, die die Anwendung sammelt, kann das Unternehmen, das hinter dieser Spyware steht, detaillierte Aufzeichnungen über Benutzer, ihr Verhalten, ihre Kontakte, ihre Aufenthaltsorte und vieles mehr speichern.
  • Die Anwendung kann automatisch aktualisiert werden, wobei neue Funktionen ohne Eingriff des Benutzers und ohne dass der Benutzer es überhaupt bemerkt hinzugefügt werden. Die Anwendung fragt Benutzer gelegentlich nach Informationen wie z.B. dem Namen, indem sie ein Dialogfeld anzeigt oder sie bittet den Benutzer, ein Umfrageformular auszufüllen.
  • In einigen Fällen funktionieren Computer, auf denen diese Spyware installiert ist, nach einiger Zeit nicht mehr richtig. Bei diesen Macs muss dann ein Neustart erzwungen werden.
  • Wenn ein Benutzer die Originalanwendung löscht oder den Bildschirmschoner, der diese Spyware installiert hat, bleibt die Spyware selbst auf dem Computer und funktioniert weiterhin.

Wie zuvor beschrieben gibt diese Anwendung zwar vor, Informationen für Marketingszwecke zu sammeln. Tatsächlich aber macht sie viel mehr. Das geht so weit, dass alle Dateien auf einem infizierten Mac gescannt werden. Benutzer können nicht genau erfahren, welche Daten gesammelt und an Remote-Server gesendet werden. Zu diesen Daten können auch Benutzernamen, Passwörter, Kreditkartennummern etc. zählen. Aufgrund des Risikos, dass solche Daten gesammelt und ohne Erlaubnis des Benutzers verwendet werden, ist diese Spyware für die Privatsphäre des Benutzers besonders gefährlich.

Aufgrund der Tatsache, dass diese Anwendung Daten auf diese Weise sammelt und eine Hintertür öffnet, wird sie zu einer ernsten Sicherheitsbedrohung. Zudem stellt sie aufgrund des Risikos, dass sensible Daten wie Benutzernamen, Passwörter und Kreditkartennummern gesammelt werden, eine hochriskante Spyware dar. Wenngleich die Verbreitung begrenzt ist, warnen wir Mac-Benutzer und empfehlen ihnen, sehr vorsichtig zu sein und darauf zu achten, welche Software sie herunterladen und installieren.

Schutzmaßnahmen: Intego VirusBarrier X5 und X6 erkennen und löschen diese schädliche Software, die sie als OSX/OpinionSpy mit den Gefahrenfiltern vom 31. Mai 2010 oder neuer erkennen.

Über Intego
Intego entwickelt und vertreibt Desktop-Software für Sicherheit im Internet und den Schutz vertraulicher Daten für Mac.

Intego stellt eine umfassende Auswahl von Software bereit, mit der Benutzer und ihre Mac-Computer vor den Gefahren aus dem Internet geschützt werden. Die mehrsprachige Software und die Kundenunterstützung von Intego erhalten in regelmäßigen Abständen Auszeichnungen von den ,Mac‘-Magazinen und schützen derzeit mehr als eine Million Benutzer in über 60 Ländern. Intego hat Firmenhauptsitze in den USA, Frankreich und Japan. Für weitere Information bitte besuchen Sie die Webseite www.intego.com.

We protect your world. Wir schützen Ihre Welt.

 

 


Startseite | Kontakt