Anscheinend Malware für den Mac entdeckt

In den Anfangsjahren von Apple gab es sie bereits: Malware auf dem Mac. Dann wurde es wieder still um die Viren, Würmer und Trojaner. Mit der Diaspora der Apple-Gemeinde wurde es aber nicht nur still, sondern eine gewisse Schadenfreude breitete sich aus. Malware ist nur etwas für die PCler, so der allgemeine Kanon. Warnende Stimmen wurden nicht beachtet und die vereinzelnden Schadprogramme, die seit Mac OS X gemeldet wurden, schlicht ignoriert. Tritt eine solche Situation nun wieder ein oder geht es dieses Mal ans Eingemachte?

Dr. Web hat diese Woche einen neuen Befall gemeldet: den Mac.BackDoor.iWorm. Es ist noch nicht ganz klar, was der Wurm anrichten und wie er auf den Mac kommen soll. Dem Namen nach kann man annehmen, dass es sich um einen Wurm handelt. Diese Malware kann sich nach erfolgreichem Befall selbst vervielfältigen. Gegenüber einem Virus verbreiten sich Würmer über Netzwerke oder Wechselmedien und infizieren dabei auf dem Rechner keine fremde Dateien oder Bootsektoren. Dr. Web zufolge sollen 17.658 IP-Adressen infiziert sein. Da sich aber viele Rechner die IP-Adresse in Zeitabschnitten teilen, da die Provider die Veragbe rasch ändern, können weit weniger Rechner befallen sein.

Wie erkennt man einen Befall des Macs

Gehe-zu-Fenster mit iWurm-SucheDr. Web gibt an, dass der iWorm über Umgehung der Admin-Abfrage im Library-Verzeichnis einen Ordner namens „JavaW“ anlegt. Anwender können also das Finder-Menü „Gehe zu“ und die Option „Gehe zum Ordner …“ aufrufen und folgenden Pfadangaben machen:

/Library/Application Support/JavaW

Bieeept der Mac daraufhin und in dem Gehe-zu-Fenster kommt die Meldung „Der Ordner wurde nicht gefunden“ kann man sich erst einmal zurücklehnen. Eine Suche im gleichen Library-Verzeichnis des Benutzer-Verzeichnisses empfiehlt sich aber trotzdem.

Zeigt OS X den gesuchten Ordner jedoch an, wird es ernst. Ich kann nicht sagen, welche Dateien sich in dem Ordner befinden und was der iWorm genau anstellt. Er soll eine Verbindung zu Reddit aufbauen und die dort gefundenen Adressen kontaktieren. Über diese Informationsweitergabe soll der infizierte Rechner dann Teil eines Bot-Netzes werden, mit dem sich theoretisch Server im Web via DDoS angreifen lassen, aber auch Anwender-Konten via brute-force-Angriff. Aber da die Malware als Backdoor-Wurm eingestuft ist, sollte man sofort reagieren, denn hier kann der Angreifer vom Anwender unbemerkt noch zusätzlichen Code auf dem befallenen Rechner nachinstallieren. Handel deshalb bei einer Infizierung unverzüglich. Bisher ist mir außer dem kompletten Plattmachen des Rechners keine Lösung bekannt. Wer vor dem Befall ein Backup beispielsweise mit TimeMachine gemacht hat, ist jetzt eindeutig im Vorteil und kann die letzte befallfreie Sicherung wieder aufspielen.

Dr. Web Anti-virus for Mac OS X erkennt nach Angaben des Herstellers die Virus-Signatur und kann damit aufzeigen, ob ein Rechner befallen ist. Ob die Antivirus-Software den Befall beseitigen kann, ist mir nicht bekannt.

Schreibe einen Kommentar