"iWorm": Botnetz aus 18.500 Rechnern mit OS X entdeckt

6. Oktober 2014, 09:52
176 Postings

Verbreitung über illegale Programm-Kopien, Steuerung über "Reddit"-Postings – Apple und Antivirenhersteller reagieren

Ein kürzlich entdeckter Trojaner hat zahlreiche Macs und MacBooks zu unfreiwilligen Teilnehmern eines ferngesteuerten Botnets gemacht. Entdeckt hat die Bedrohung der russische Antivirenhersteller Dr. Web, wo der Schädling auf den Namen "Mac.BackDoor.iWorm" getauft wurde, berichtet Business Insider.

Laut The Safe Mac dürfte die Verbreitung über die Installation illegaler Kopien von Software wie Adobe Photoshop stattfinden, die über Filesharing-Plattformen bzw. per Bittorrent verbreitet werden. Ob Befall auch auf anderem Wege stattfindet, ist nicht bekannt.

Verbindung zu Kontrollservern via Reddit

Die Anzahl der Betroffenen wurde zuletzt auf rund 18.500 geschätzt. Details veröffentlichte das Unternehmen auch zur Art und Weise, wie der Wurm ferngesteuert wird. Befällt der iWorm einen neuen Rechner, so versucht er von dort aus - vom Nutzer unbemerkt - sich mit dem "Command & Control"-Servern des Botnetzes zu verbinden.

Diese verwenden möglicherweise dynamische IP-Adressen, da der Wurm ihre IP-Adresse nicht bereits kennt, sondern nach bestimmten Postings sucht, die von den Hintermännern im chinesischen Abschnitt der Reddit-Foren deponiert wurden. Ist die Verbindung hergestellt, empfängt der jeweilige Rechner von den Steuerungsservern Kommandos. Botnetze lassen sich vielfältig einsetzen – etwa zum Versand von Spam, DDoS-Angriffe oder dem Generieren von Bitcoins.

Apple und Antivirenhersteller rüsten nach

Die Bedrohung ist offenbar rechtzeitig entdeckt worden, denn gemäß letzten Berichten soll das Botnetz noch nicht für irgendeine Art von Angriff genutzt worden sein.

Ob man selbst betroffen ist, soll sich relativ leicht herausfinden lassen. Lässt sich mit dem Finder der Pfad "/Library/Application Support/JavaW" öffnen, ist der eigene Rechner befallen.

Dr. Web und andere Antivirenhersteller bieten bereits Werkzeuge zur Entfernung des iWorm und haben auch ihre Antivirenlösungen entsprechend nachgerüstet. Auch Apples Antimalware-Tool Xprotect erkennt und löscht die Bedrohung mittlerweile, was weiteren Befall verhindern sollte. (gpi, derStandard.at, 06.10.2014)

Update, 06.10.14, 13:35: Der Artikel wurde auf Basis weiterer Informationen aktualisiert.

  • Rund 18.500 Rechner soll das Botnetz zuletzt umfasst haben.

    Rund 18.500 Rechner soll das Botnetz zuletzt umfasst haben.

Share if you care.