Offenbar erstes Virus für Mac OS X in Umlauf gebracht

[blindguard]

Zitat:

Dies ist keine Übung …
Lesen Sie an dieser Stelle einen aktuellen Einwurf David Andels, Chefredakteur der Mac Life, zu dem jüngst in Umlauf gekommenen "ersten Mac-Virus":

Was sich schon mehrfach zumindest als „Proof of Concept“ andeutete, wurde nun Realität, ein waschechter Schädling für Mac OS X ist aufgetaucht. Und das Licht der Welt erblickte dieser nicht als schnöder E-Mail-Anhang, wie in der Windows-Welt mittlerweile fast Standard, sondern durch die Neugierde der Mac-Fans.
Pech hatten jene Gerüchte-Junkies, die sich aus dem Forum von macrumors.com mit „latestpics.tgz“ vom (schnell gesperrten) neuen Benutzer „lasthope“ einen vermeintlichen Screenshot des künftigen Mac OS X 10.5 Leopard besorgten, denn darin verbarg sich nichts anderes als die ausgeklügelte Grundlage für womöglich erst künftiges und dann vielleicht ungleich größeres Unheil. Der später als „Oompa Loompa“ oder „Leap-A“ bezeichnete Störenfried ist vielseitig, denn er startet als trojanisches Pferd (fälschlich „Trojaner“), weil er sich nicht zu erkennen gibt, verbreitet sich dann als Virus, weil er weitere Bestandteile des Systems infiziert und endet dann als Wurm, weil er mittels iChat AV in die Ferne schweift.

Interessant dürfte die Fortentwicklung des Verbreitungsgrades werden, da sich der Schädling ja über iChat AV neue Opfer sucht. Wer auf diesem Wege überraschend eine Datei namens „latestpics.tgz“ angeboten bekommt, sollte diese (und alle anderen Überraschungen) ablehnen oder ungeöffnet wegwerfen, sofern der Empfang versehentlich akzeptiert wurde. Wer die Datei leichtfertigerweise geöffnet und deren Inhalt dann noch mittels Doppelklick ausgeführt hat, muss zusätzliche Schritte unternehmen, um Schaden von der eigenen und anderen Tiger-Installationen (nur Mac OS X ab 10.4 ist betroffen, nicht jedoch die neuen Intel-Macs) abzuwenden. Der Effekt für das infizierte System ist nicht allzu negativ, denn nur die ab Installation des unwillkommenen Gastes gestarteten Anwendungen werden manipuliert, stürzen ab (was ein Versäumnis des Schädlingserzeugers ist), bleiben allerdings in der Lage, nach einem Doppelklick auf ihr Programmsymbol weitere Anwendungen zu infizieren.
Sowohl kommerzielle Antiviren-Programme wie Integos VirusBarrier X/X4 (www.intego.com/virusbarrier) als auch die kostenfreie Anwendung ClamXav (www.clamXav.com) sind fähig, Oompa Loompa/Leap-A sowie infizierte Anwendungen zu identifizieren. Es reicht ebenso ein Blick in den Ordner /Library/InputManagers und den gleichnamigen Ordner im eigenen Benutzerverzeichnis unter Library/InputManagers, um festzustellen, ob man überhaupt betroffen ist, denn darin befände sich dann unerwünschte Software namens „apphook.bundle“.

Es steht anzunehmen, dass sich Oompa Loompa/Leap-A weder sehr verbreitet, noch besondere Konsequenzen für betroffene Anwender hat. Ärgerlich ist nur der Sachverhalt an sich und die Möglichkeit künftiger Trittbrettfahrer, die sich der Grundlagen von Oompa Loompa/Leap-A bedienen werden. Zwar ist davon auszugehen, dass Apple in irgendeiner Form reagieren wird, doch zeigt der vorliegende Ansatz erstmals in der Praxis, dass auch Mac OS X nicht vor externen Manipulationen gefeit ist.

David Andel

http://www.maclife.de/index.php?modu...tid=1&pid=1214