Neue Variante von Mac-Schädling "Mac Defender" aufgespürt

26. Mai 2011, 12:50
58 Postings

Malware "MacGuard" installiert sich ohne Passwort-Abfrage

Der Sicherheitsanbieter Intego warnt vor einer neuen Version der Scareware "Mac Defender", der im Gegensatz zum Vorgänger während der Installation keine Admin-Passwörter abfragt. Am Dienstag hatte Apple nach Wochen des Schweigens ein Update veröffentlicht, das Nutzern bei der Identifizierung des Schädlings helfen sollte - der WebStandard berichtete.

Tarnung und Installation

In einem Blogeintrag schreibt Intego, dass die MacGuard-Oberfläche als native Mac OS X Anwendung getarnt ist. Besonders problematisch sei allerdings die Tatsache, dass kein Passwort erforderlich ist. "Wenn Safaris' Option 'Sichere Dateien nach dem Download öffnen' aktiviert ist, öffnet sich das Apples Installer und die Nutzer sehen ein normales Installationsfenster. Wenn nicht, bemerken sie eventuell das heruntergeladene ZIP-Archiv und klicken es neugierig an, ohne sich daran zu erinnern, was sie heruntergeladen haben. Mit dem Doppelklick wird in beiden Fällen der Mac OS X Installer gestartet", heißt es weiter im Intego-Blog. 

avRunner

Danach werde die Anwendung avRunner installiert und gestartet, die den MacGuard-Schädling nachlädt. Um unentdeckt zu bleiben, löscht sich das Installationspaket anschließend selbst. Die IP-Adresse ist, indem eine einfache Form von Steganographie nutzt, in einer Bilddatei von avRunner versteckt. 

Update folgt

Intego rät Mac-Nutzern, die Option "Sichere Dateien nach dem Download öffnen" zu deaktieren. Apple hat für die kommenden Tage ein Sicherheitsupdate für Mac OS X angekündigt, das alle bekannten Versionen von Mac Defender identifiziert, löscht und eine Warnung vor dem Download abschickt. (ez, derStandard.at, 26. Mai 2011)

  • "Wenn Safaris' Option 'Sichere Dateien nach dem Download öffnen' 
aktiviert ist, öffnet sich das Apples Installer und die Nutzer sehen ein
 normales Installationsfenster", so der Intego-Blogeintrag.
    foto: screenshot

    "Wenn Safaris' Option 'Sichere Dateien nach dem Download öffnen' aktiviert ist, öffnet sich das Apples Installer und die Nutzer sehen ein normales Installationsfenster", so der Intego-Blogeintrag.

  • Besonders tückisch: keine Passwort-Abfrage.
    foto: screenshot

    Besonders tückisch: keine Passwort-Abfrage.

  • Artikelbild
    foto: screenshot
Share if you care.